瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 被http://freedh.info/#web410篡改了首页

123456   6  /  6  页   跳转

[求助] 被http://freedh.info/#web410篡改了首页

回复:被http://freedh.info/#web410篡改了首页

明白了
gototop
 

回复:被http://freedh.info/#web410篡改了首页

天月老大,你11楼说的 “从你们俩的日志来看,好象都存在C:\WINDOWS\kingsofta\文件夹内的程序在运行,那里是什么软件呢?? ”能否告诉下你是怎么看出来的呢?到时候我朋友遇到这种情况我好帮他解决下,我也好装装B
gototop
 

回复 52F 纯属新手 的帖子

因为正常的软件不可能是安装在系统C:\WINDOWS\文件夹内的

同时那个日志中的服务项内存在下面项:
==================================
服务
[Kingsoft Antivirus WebShield Service / Kingsoft Antivirus WebShield Service][Running/Auto Start]
  <C:\WINDOWS\kingsofta\KSWebShield.exe><Kingsoft Corporation>

显示其工作情况为Running,就是已运行了的。

外加日志的最后存在这样的异常项:
==================================
API HOOK
入口点错误:ShellExecuteExW (危险等级: 一般,  被下面模块所HOOK: C:\WINDOWS\kingsofta\kswebshield.dll)

其同样是C:\WINDOWS\kingsofta\文件夹

虽然文件名模仿金山的网盾,但是我知道金山的软件是不可能默认安装到那位置的,更重要的是默认安装的路径是kingsoft文件夹,不是kingsofta文件夹,多了一个字母a

没别的了。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:被http://freedh.info/#web410篡改了首页

厉害~此帖保留,以便日后研究~
gototop
 
123456   6  /  6  页   跳转
页面顶部
Powered by Discuz!NT