请教高手，咖啡的日志提示

显示全部楼层 · 发表于 2013-5-12 21:01:08

本帖最后由 hjg2000 于 2013-5-14 09:45 编辑

C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\log.dat 防病毒爆发控制:将所有共享项设为只读已阻止的操作: 创建

2013-5-12 20:29:00 已由访问保护规则禁止 PCOS-04242008\Administrator
C:\WINDOWS\system32\ftp.exe C:\WINDOWS\System32\WS2_32.dll 用户定义的规则:05 管制系统_文件已阻止的操作: 执行

2013-5-12 20:16:12 已由访问保护规则禁止 PCOS-04242008\Administrator
C:\WINDOWS\system32\cmd.exe C:\sm.log 用户定义的规则:07 保护根目录_C盘已阻止的操作: 创建

C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\log.dat 防病毒爆发控制:将所有共享项设为只读已阻止的操作: 创建

2013-5-12 18:35:29 已由访问保护规则禁止 PCOS-04242008\Administrator
C:\WINDOWS\system32\ftp.exe C:\WINDOWS\System32\WS2_32.dll 用户定义的规则:05 管制系统_文件
已阻止的操作: 执行

2013-5-12 18:42:48 已由访问保护规则禁止 PCOS-04242008\Administrator
C:\WINDOWS\system32\cmd.exe C:\WINDOWS\run.vbs 防病毒爆发控制:将所有共享项设为只读
已阻止的操作: 创建

2013-5-12 18:42:48 已由访问保护规则禁止 PCOS-04242008\Administrator
C:\WINDOWS\system32\cmd.exe C:\WINDOWS\run2.vbs 防病毒爆发控制:将所有共享项设为只读
已阻止的操作: 创建

2013-5-12 17:49:34 已由访问保护规则禁止 PCOS-04242008\Administrator
C:\WINDOWS\system32\cmd.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tudou.vbs 防病毒爆发控制:将
所有共享项设为只读已阻止的操作: 创建

2013-5-12 18:28:25 已由访问保护规则禁止 PCOS-04242008\Administrator
C:\WINDOWS\system32\cmd.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tudou.vbs 防病毒爆发控制:将
所有共享项设为只读已阻止的操作: 创建

请问我的电脑是中木马了吗？

显示全部楼层 · 发表于 2013-5-12 21:05:03

本帖最后由 shiyuelaohu 于 2013-5-12 21:42 编辑

修改一下,C:\WINDOWS\system32\cmd.exe很少有在C盘根目录下创建文件的行为,这个行为有点儿可疑,乃可以看看这个cmd.exe是什么时候创建的,如果是最近创建的话,那就小心了.话说你这个防病毒爆发控制中的将所有共享项设为只读是怎么回事?你改过了?应该是system:remote才对吧.

显示全部楼层 · 发表于 2013-5-12 21:55:13

目测应该是中马了
欲创建的文件名同近期出现的一款木马下载其类似
如：http://bbs.kafan.cn/thread-1565912-1-1.html

同时根据日志判断
cmd.exe创建C盘根目录log.dat windows目录下创建脚本这本身就不符合常理，一般情况下cmd.exe很少有此类行为。
ftp.exe调用WS2_32.dll（Windows Sockets应用程序接口，用于支持Internet和网络应用程序）进行网络信息交互。
而ftp.exe感染病毒后大多伴随有cmd.exe病毒

总之目测感染病毒具体情况还得根据实际情况而定日志仅能反映出某文件的行为不能作为判定病毒的必然依据。可将cmd.exe ftp.exe进行病毒检测或通过如验证文件签名、md5、创建日期等判定是否为原版文件。

显示全部楼层 · 发表于 2013-5-12 22:08:28

我也感觉中了木马，日志还提示想创建一些文件
2013-5-12 21:34:59 已由访问保护规则禁止 PCOS-04242008\Administrator C:\WINDOWS\system32\cmd.exe C:\msn.log 用户定义的规则:07 保护根目录_C盘已阻止的操作: 创建
2013-5-12 21:35:00 已由访问保护规则禁止 PCOS-04242008\Administrator C:\WINDOWS\system32\cmd.exe C:\one.sys 用户定义的规则:07 保护根目录_C盘已阻止的操作: 创建
2013-5-12 21:35:00 已由访问保护规则禁止 PCOS-04242008\Administrator C:\WINDOWS\system32\cmd.exe C:\no.bat 用户定义的规则:07 保护根目录_C盘已阻止的操作: 创建
2013-5-12 21:42:56 已由访问保护规则禁止 PCOS-04242008\Administrator C:\WINDOWS\system32\cmd.exe C:\msn.log 用户定义的规则:07 保护根目录_C盘已阻止的操作: 创建
2013-5-12 21:42:57 已由访问保护规则禁止 PCOS-04242008\Administrator C:\WINDOWS\system32\cmd.exe C:\one.sys 用户定义的规则:07 保护根目录_C盘已阻止的操作: 创建
2013-5-12 21:42:57 已由访问保护规则禁止 PCOS-04242008\Administrator C:\WINDOWS\system32\cmd.exe C:\no.bat 用户定义的规则:07 保护根目录_C盘已阻止的操作: 创建
2013-5-12 21:53:48 已由访问保护规则禁止 PCOS-04242008\Administrator C:\WINDOWS\system32\cmd.exe C:\Ftp.txt 用户定义的规则:07 保护根目录_C盘已阻止的操作: 创建

显示全部楼层 · 发表于 2013-5-12 22:34:40

本帖最后由 hjg2000 于 2013-5-12 22:43 编辑

前一个系统也有这种情况，重装后，不久又出现这样

刚才在c盘根目录创建了一个名字叫908的空文件夹

显示全部楼层 · 发表于 2013-5-12 22:59:09

这是很好的咖啡防御例子。。。很幸运咖啡至少帮你拦截了这个病毒的破坏作用。目测是盗号木马（生成log文件）。建议新建规则阻止任何程序访问bat, cmd, com等文件，然后查看日志，找到元凶。

McAfee VirusScan Enterprise 8.8 P3
Google Chrome beta
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36

显示全部楼层 · 发表于 2013-5-13 07:14:37

本帖最后由 jxfaiu 于 2013-5-13 07:34 编辑

hjg2000 发表于 2013-5-12 22:08
我也感觉中了木马，日志还提示想创建一些文件
2013-5-12 21:34:59 已由访问保护规则禁止 PCOS-04242008\A ...

加规则：导出规则时须停用此规则
规则名称：访问控制-脚本文件（全局）
要包含的进程：?attrib.exe, at.exe, Cacls.exe, cmd.exe, cscript.exe, debug.exe, diskpart.exe, ftp.exe, mmc.exe, mshta.exe, ntoskrnl.exe, ntvdm.exe, regedit.exe, regsvr32.exe, replace.exe, runas.exe, sc.exe, schtasks.exe, script.exe, taskkill.exe, tasklist.exe, telnet.exe, tftp.exe, Tskill.exe, user.exe
要排除的进程：无
要阻止的文件或文件夹名：**
要禁止的文件操作：读取执行
阻挡

再加些入口规则：
规则名称：入侵控制-bat（全局）
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**.bat
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-cmd（全局）
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**.cmd
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-com（全局）
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**.com
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-cpl（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名：**.cpl
要禁止的文件操作：写入创建

规则名称：入侵控制-dll（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名：**.dll
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-drv（全局）
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.drv
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-exe（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\Thunder Network\Thunder5\Program\Thunder5.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名：**.exe
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-htm（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名：**.htm
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-html（全局）
要包含的进程：*
要排除的进程：C:\Program Files\WinRAR\WinRAR.exe
要阻挡的文件或文件名：**.html
要阻止的文件操作：创建写入
阻挡

规则名称：入侵控制-IE文件（全局）
要包含的进程：*
要排除的进程：无
要阻挡的文件或文件名：**\Internet Explorer*\**
要阻止的文件操作：创建写入
阻挡

规则名称：入侵控制-inf（非全局）
要包含的进程：*
要排除的进程： C:\WINDOWS\system32\services.exe, C:\Windows\System32\svchost.exe
要阻止的文件或文件夹名：**.inf
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-js（非全局）
要包含的进程：*
要排除的进程： C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.exe,
要阻止的文件或文件夹名：**.js
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-msc（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名：**.msc
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-msi（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名：**.msi
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-msp（全局）
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.msp
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-ocx（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名：**.ocx
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-pif（全局）
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.pif
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-scr（全局）
要包含的进程：*
要排除的进程：C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名：**.scr
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-sys（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名：**.sys
要禁止的文件操作：写入创建
阻挡

规则名称：入侵控制-vbs（非全局）
要包含的进程：*
要排除的进程：C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名：**.vbs
要禁止的文件操作：写入创建
阻挡

显示全部楼层 · 发表于 2013-5-13 18:15:52

shiyuelaohu 发表于 2013-5-12 21:05
修改一下,C:\WINDOWS\system32\cmd.exe很少有在C盘根目录下创建文件的行为,这个行为有点儿可疑,乃可以看看这 ...

cmd.exe 大小460K 占用空间464K 创建时间 2010年1月10日修改时间 2008年4月13日

防病毒爆发控制：
将所有共享项设为只读
要包含的进程：**
要排除的进程：*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\notepad.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\notepad.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\WerFault.exe

我用的是墨池McAfee8.8 P2返璞规则

显示全部楼层 · 发表于 2013-5-13 18:41:31

感谢楼上几位提出的意见！
今天早上发现杀毒软件发现 C:\WINDOWS\ztop\lsoss.exe 我把ztop这个文件夹删了，关机
下午开机发现 c:\windows\ztop\sysis.exe，C:\WINDOWS\ztop\lstss.exe

中毒了

[已解决] 请教高手，咖啡的日志提示

评分

评分