瑞星卡卡安全论坛

:default87: 联网后不开任何网页就自动接收和发送大量数据,用SREngPs检测,发现启动项目的2个注册表被修改.用金山,瑞星,木马克星检测,3个软件都没查出病毒文件,显示系统安全.只有金山网镖提示以下3个信息:
信息 2008-05-31  00:34:10 成功拦截 1个 针对本机的SQLExp攻击, 来自 122.139.61.153
信息 2008-05-30  23:20:22 成功拦截 1个 针对本机的SQLExp攻击, 来自 61.153.50.237
信息 2008-06-02  08:01:03 成功拦截 1个 针对本机的SQLExp攻击, 来自 202.99.11.99
另外SREngPS的报告中说:特殊特权被允许： SeLoadDriverPrivilege [PID = 1764, C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE]
请问这个正常吗?
我用金山 瑞星 木马克星都查不出病毒 无论是用机器里的杀毒软件还是在线查毒都一样！电脑C盘重装了N次 格式化一次 :default11:
只要一开网页，超级兔子魔法盾就提示有更改注册表和键盘监视的程序存在！
以下是超级兔子魔法盾的日志:
008-06-02 01:30:30    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\System32\svchost.exe
注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:AppData
更改后:C:\WINDOWS\system32\config\systemprofile\Application Data
更改前:C:\Documents and Settings\LocalService\Application Data
触发规则:所有程序规则->资源管理器_(安全级别：中)->*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*
2008-06-02 01:06:23    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\Ati2evxx.exe
命令行:-Client
触发规则:应用程序规则->系统程序_(安全级别：中)->%windir%\system32\winlogon.exe
2008-06-02 01:28:57    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\Ati2evxx.exe
命令行:-Client
触发规则:应用程序规则->系统程序_(安全级别：中)->%windir%\system32\winlogon.exe

2008-06-02 01:30:19    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\System32\svchost.exe
注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:ParseAutoexec
更改后:1
触发规则:所有程序规则->WinLogon_(安全级别：中)->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

2008-06-02 01:30:30    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\System32\svchost.exe
注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:AppData
更改后:C:\WINDOWS\system32\config\systemprofile\Application Data
更改前:C:\Documents and Settings\LocalService\Application Data
触发规则:所有程序规则->资源管理器_(安全级别：中)->*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*
2008-06-02 01:47:47    键盘记录      操作:阻止
进程路径:C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
触发规则:所有程序规则->*

2008-06-02 01:52:24    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\Documents and Settings\2122\SendTo\邮件接收者.MAPIMail
触发规则:所有程序规则->Documents and Settings_(安全级别：中)->?:\Documents and Settings\*\SendTo\*

2008-06-02 01:52:24    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\Documents and Settings\2122\SendTo\桌面快捷方式.DeskLink
触发规则:所有程序规则->Documents and Settings_(安全级别：中)->?:\Documents and Settings\*\SendTo\*

2008-06-02 01:52:24    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\Documents and Settings\2122\SendTo\压缩(zipped)文件夹.ZFSendToTarget
触发规则:所有程序规则->Documents and Settings_(安全级别：中)->?:\Documents and Settings\*\SendTo\*

2008-06-02 01:52:24    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\System32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:ParseAutoexec
更改后:1
触发规则:所有程序规则->WinLogon_(安全级别：中)->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

2008-06-02 01:56:47    结束/挂起进程      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\taskmgr.exe
目标进程:C:\WINDOWS\Explorer.EXE

2008-06-02 02:00:35    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\Ati2evxx.exe
命令行:-Client
触发规则:应用程序规则->系统程序_(安全级别：中)->%windir%\system32\winlogon.exe

2008-06-02 07:27:13    删除注册表      操作:阻止
进程路径:C:\WINDOWS\System32\svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{80EA3E21-3EF0-4E15-BEDE-9BC989499A09}
注册表名称:TcpWindowSize
触发规则:所有程序规则->网络保护_(安全级别：中)->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*

2008-06-02 07:29:54    键盘记录      操作:阻止
进程路径:C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
触发规则:所有程序规则->*
格式化磁盘简单，可我郁闷啊 斗争了好几天 连是什么病毒都不知道:default87:


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

那2.6版的SRENG日志呢？？？

没看见:default2: