关于进程C:\WINDOWS\EXPLORER.EXE触发了API类规则 bbs.ikaka.com

哀叹提那 - 2008-6-8 23:19:00

这两天机器中病毒了今天杀完后启动程序老是弹出这个“进程C:\WINDOWS\EXPLORER.EXE触发了API类规则”
请问是出了什么问题啦？

附图

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GreenBrowser)

aaccbbdd - 2008-6-8 23:26:00

关于触发了API规则的解决方法 http://forum.ikaka.com/topic.asp?board=117&artid=8406410

哀叹提那 - 2008-6-8 23:42:00

弱弱的问一句主动防御设置在哪？找不到...:default3:

哀叹提那 - 2008-6-8 23:46:00

找到了研究中...

aaccbbdd - 2008-6-8 23:50:00

不要胡乱加白名单
可能病毒会注入进程的

哀叹提那 - 2008-6-8 23:57:00

操作时间进程名称操作数据
试图改写目标程序内存 2008-6-8 15:39 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\RSCONFIG.EXE
修改目标程序虚拟内存属性 2008-6-8 15:39 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\RAV.EXE
修改目标程序虚拟内存属性 2008-6-8 15:40 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\SMARTUP.EXE
修改目标程序虚拟内存属性 2008-6-8 15:41 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\COPYRUN\RAVCOPY.EXE
修改目标程序虚拟内存属性 2008-6-8 15:46 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\SETUP.EXE
修改目标程序虚拟内存属性 2008-6-8 15:47 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\RAVMON.EXE
试图改写目标程序内存 2008-6-8 15:56 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\ULIBCFG.EXE
试图改写目标程序内存 2008-6-8 15:59 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\RSCONFIG.EXE

:default24: 这说明“C:\WINDOWS\EXPLORER.EXE”肯定是病毒了吧现在要怎么办呢:default24:

过客2007 - 2008-6-9 0:16:00

引用:

原帖由 哀叹提那 于 2008-6-8 23:57:00 发表
操作时间进程名称操作数据
试图改写目标程序内存 2008-6-8 15:39 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\RSCONFIG.EXE
修改目标程序虚拟内存属性 2008-6-8 15:39 C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\RISING\RAV\RAV.EXE
修改

错了,不是说明explorer.exe是病毒.(这是主管开始菜单的系统程序,假如删除或者是丢失,就无法显示桌面了.)

这只能说明是病毒调用了或者是注入了这个程序,需要日志分析"

http://bbs.ikaka.com/showtopic-8417665.aspx

哀叹提那 - 2008-6-9 0:51:00

谢谢大家的帮助去病毒区求救:default21:

哀叹提那 - 2008-6-9 16:38:00

貌似解决了谢谢大家的帮助:default6:

banlei - 2008-6-10 16:10:00

谢谢
这个对我有帮助

瑞星卡卡安全论坛