瑞星卡卡安全论坛
鬼鬼小猫咪 - 2009-4-28 11:40:00
会不会是病毒呀?
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)
sinoer - 2009-4-28 11:41:00
有可能是系统自动同步时间,也有可能是病毒
鬼鬼小猫咪 - 2009-4-28 11:43:00
总是你回答我的问题,你人真好.
我担心的是,如果是系统的动作,瑞星为什么会提示呢,应该直接放过吧.
alice2008 - 2009-4-28 11:55:00
我的电脑也出现这种情况,几次开机,瑞星都有提示。我每次等瑞星倒数结束就没管它
sinoer - 2009-4-28 12:05:00
卡卡高级工具里有进程管理,可以看看svchost进程下实际会挂上很多模块的,正常更新时间的模块,或者病毒都可以挂在这里去改系统时间
鬼鬼小猫咪 - 2009-4-28 12:55:00
正常的瑞星也会提示,感觉杀软这东西应该是保护系统的呀,正常的应该放过的,请问我的这个是病毒吗?
zoxmes - 2009-4-28 12:58:00
:default3: 是设置了网络时间同步么?
可以允许的,上次差点害了人,不过瑞星的这个监控需要做好一点。
毕竟很多安全的也会提示啊。
鬼鬼小猫咪 - 2009-4-28 13:09:00
是呀,我设置了,所以我来问一下,
我就是不太明白,杀软是杀毒的,正常的系统功能应该不会报啊.
不放心........
zoxmes - 2009-4-28 13:12:00
:default3: 瑞星就是有点敏感,所以我是向别人装机之后,都不推荐用的,毕竟确实是有烦人。。
鬼鬼小猫咪 - 2009-4-28 13:15:00
那究竟是不是病毒呀?
系统正常的操作在哪里查看?
遇到这种情况怎么区分是不是病毒?
zoxmes - 2009-4-28 13:17:00
鬼鬼小猫咪 - 2009-4-28 13:19:00
谢谢
请问检测那个文件?
怎么有人说是挂在svchost上的呢?
如果这样的话,检测svchost应该也没用啊.
请帮忙.
水中蝌蚪 - 2009-4-28 13:32:00
根据我的经验来看,不是病毒,我也经常这样,如果有怀疑可以去反病毒区扫描日志分析看看有没有异常。
鬼鬼小猫咪 - 2009-4-28 13:35:00
啊......那还麻烦你们干什么,我自己凑和看看得了......
水中蝌蚪 - 2009-4-28 13:36:00
高手啊,呵呵
鬼鬼小猫咪 - 2009-4-28 13:41:00
什么高手啊,不知道的百度搜贝.
我是想知道,遇到这种情况怎么判断啊?
你们教我呀.
一个说可能挂在svchost上,一个让我检测MD5.
这都是怎么回事儿?
检测MD5是判断文件是否被修改和替换,但是这有什么用处呢?
请指教!
水中蝌蚪 - 2009-4-28 13:53:00
看svchost的路径和签名、保险点还可以看MD5,路径可以在瑞星的历史记录看到,不在SYSTEM32下的文件就不正常,签名不对也不行。
鬼鬼小猫咪 - 2009-4-28 13:55:00
svchost有签名????
好的,我先去看看吧....
鬼鬼小猫咪 - 2009-4-28 14:02:00
svchost明显没有数字签名嘛......
唉........
天月来了 - 2009-4-28 14:44:00
目前出现这样情况的,大多数是系统的网络时间同步,自动修改时间。
如果是病毒恶改,那一般时间不会维持在现在的,而是会改成很多乃年前,或很多年后
至于这个的提示,没办法的,虽然svchost修改系统时间可能是系统正常行为。
但是因为现在的主流病毒的行为几乎和正常软件的行为没什么区别了,难以靠软件智能的自动分辨
举例吧:那个木马群病毒会在QQ目录内创建psapi.dll文件,虽然此行为不正常,但是它和QQ安装是要在QQ目录内创建大量*.dll文件的行为是一样的,所以任何安全软件难以去对此完美监控。
而当QQ.exe运行时,要从其同目录内加载psapi.dll这行为也和QQ.exe要加载自身需要的大量*.dll文件时一样的正常程序行为,这也是难以靠杀毒软件完美监控的。
现在的病毒越来越喜欢将行为方式向正常软件靠拢了。
你自己可以去控制面板的什么地方取消时间同步功能,就不再提示了
鬼鬼小猫咪 - 2009-4-28 14:53:00
感谢天月版主的回复.
我需要时间同步功能,而且这是个已知的系统正常功能,并非第三方软件,所以我认为,此行为,应当不报,自动放过.
我感觉svchost进程大体上就是服务项挂载的进程,或者说是一个加载DLL的地方,DLL我理解为一种另类的可执行文件,只是这重文件必须通过一个exe来调用,而目前,这个调用是已知的,所以,应该不报.
你说的QQ方面的问题,是软件把部分功能写在DLL类库中,通过函数调用,这种行为本来就是正常的,所以不报是正确的.
天月来了 - 2009-4-28 15:01:00
现在有个逻辑顺序。
目前瑞星的监控在监控时间的改变上,是无法对单一修改时间的程序行为进行记录并排除。
它对时间的监控目前还是局限在全局监控
即任意程序要修改时间都会提示
并不是指单纯监控svchost修改系统时间
要么关闭瑞星的时间修改监功能,要么停止系统自身的时间同步功能。
没别的好办法了。
或许积累了一年后,在2010年会修改瑞星整体监控的方式,对时间修改进行单一程序行为监控并排除系统正常时间修改行为。
鬼鬼小猫咪 - 2009-4-28 15:10:00
再次感谢天月的回复.
请瑞星公司考虑我的建议!
在更深的层面上保护我们的系统正常使用.
灰大狼 - 2009-4-28 20:47:00
这个是系统的自动更新时间
灰大狼 - 2009-4-28 20:49:00
希望10版可以考虑得更多吧
09版修改的希望不大了
鬼鬼小猫咪 - 2009-4-29 8:23:00
仅对系统时间同步进行判断,并放过,似乎不是很困难吧.
灰大狼 - 2009-4-29 9:09:00
不好判断
病毒也在搞svchost的主意,不能轻易放过。
鬼鬼小猫咪 - 2009-4-29 9:12:00
我感觉是DLL或其中的函数,放过即可.
灰大狼 - 2009-4-29 9:18:00
瑞星应该是HOOK了ntoskrnl里的ZwSetSystemTime这个函数
如果做在驱动里,hook的位置应该只能取得到进程的全路径
也就是svchost的路径,至于svchost是怎么做的,瑞星貌似没有关心过
鬼鬼小猫咪 - 2009-4-29 9:21:00
学习了
© 2000 - 2026 Rising Corp. Ltd.