1   1  /  1  页   跳转

大虾们早上好,初用SSM,求教

收藏
zena
头像
初生襁褓狮
  • 帖子:55
  • 注册: 2006-07-19
  • 来自:
发表于: 2006-08-01 08:45 | 只看楼主 短消息 资料
字号: 1楼

大虾们早上好,初用SSM,求教

大虾们早上好,
我一周前在本版求教,机子中backdoor.agent.deo等木马,
并发现注册表local machine\software\microsoft\windowNT\currentversion\winlogon 的userinit的数据经常被c:\documents and settings\all users\application data\microsoft\crypto\aceci.exe和c: \windows\system32\netsend.exe篡改,用KILLBOX删也没用,
  后baohe 大虾建议我用SSM,添加规则。
  我用了SSM,添加了规则如下,阻止aceci.exe和netsend.exe.

附件附件:

下载次数:163
文件类型:application/octet-stream
文件大小:
上传时间:2006-8-1 8:45:22
描述:



最后编辑2006-08-01 10:20:10
分享到:
gototop
 
zena
头像
初生襁褓狮
  • 帖子:55
  • 注册: 2006-07-19
  • 来自:
发表于: 2006-08-01 08:46 | 只看楼主 短消息 资料
字号: 2楼

但是每回开机的时候还是出现模块报警,一个是关于瑞星的,一个是开机后第一次点开我的电脑,就发现注册表被篡改,我不知道如何处理这个模块报警

附件附件:

下载次数:176
文件类型:application/octet-stream
文件大小:
上传时间:2006-8-1 8:46:07
描述:
gototop
 
zena
头像
初生襁褓狮
  • 帖子:55
  • 注册: 2006-07-19
  • 来自:
发表于: 2006-08-01 08:46 | 只看楼主 短消息 资料
字号: 3楼

这个模块报警图太长了,我分成两段

附件附件:

下载次数:189
文件类型:application/octet-stream
文件大小:
上传时间:2006-8-1 8:46:49
描述:
gototop
 
zena
头像
初生襁褓狮
  • 帖子:55
  • 注册: 2006-07-19
  • 来自:
发表于: 2006-08-01 08:49 | 只看楼主 短消息 资料
字号: 4楼

我的问题是:
1。我不知道怎么处理这个模块报警。
2。是否以后都要依赖SSM来阻止c:\documents and settings\all users\application data\microsoft\crypto\aceci.exe和c: \windows\system32\netsend.exe?而不能根本除净?
3。我发现开机后只要点击我的电脑就会出现模块报警说注册表被改,以我浅显的病毒知识和逻辑判断,我想是不是因为木马的驱动还没有被找出来的缘故?
gototop
 
zena
头像
初生襁褓狮
  • 帖子:55
  • 注册: 2006-07-19
  • 来自:
发表于: 2006-08-01 10:14 | 只看楼主 短消息 资料
字号: 5楼

一大早就爬起来发帖,别沉了,顶一下
gototop
 
酷盖
头像
飘泊而立狮
  • 帖子:505
  • 注册: 2003-10-05
  • 来自:
发表于: 2006-08-01 10:19 | 短消息 资料
字号: 6楼

c:\documents and settings\all users\application data\microsoft\crypto\aceci.exe和c: \windows\system32\netsend.exe
为何不删除它们?
用icesword
gototop
 
zena
头像
初生襁褓狮
  • 帖子:55
  • 注册: 2006-07-19
  • 来自:
发表于: 2006-08-01 10:28 | 只看楼主 短消息 资料
字号: 7楼

我用了KILLBOX删除,但是每次删了又能出来。本站提供的ICEWORD连接地址下载不了,我在华军也没找到。。。。郁闷
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT