迎国庆-COMODO - Lamborghini Series(Update@2011-10-19)

显示全部楼层 · 发表于 2011-10-24 18:27:11

mxf147 发表于 2011-10-24 17:47
提供一下日志
D+日志默认是关闭的，自行打开一下

2011-10-24 18:21:37 C:\Program Files\WinArchiver Virtual Drive\WAService.exe 修改文件 \Device\NamedPipe\net\NtControlPipe1
2011-10-24 18:21:37 C:\Program Files\QQPCMgr\6.0.1840.203\QQPCRTP.EXE 修改文件 \Device\NamedPipe\net\NtControlPipe4
2011-10-24 18:21:37 C:\Program Files\Sandboxie\SbieSvc.exe 修改文件 \Device\NamedPipe\net\NtControlPipe8
2011-10-24 18:21:37 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:37 C:\WINDOWS\System32\WGATRAY.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:37 C:\WINDOWS\System32\WGATRAY.EXE 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
2011-10-24 18:21:37 C:\WINDOWS\System32\WGATRAY.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:37 C:\WINDOWS\System32\WGATRAY.EXE 访问COM接口 {8BC3F05E-D86B-11D0-A075-00C04FB68820}
2011-10-24 18:21:37 C:\WINDOWS\System32\WGATRAY.EXE 修改注册表项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
2011-10-24 18:21:37 C:\WINDOWS\System32\WGATRAY.EXE 直接内存访问 \Device\PhysicalMemory
2011-10-24 18:21:37 C:\WINDOWS\System32\WGATRAY.EXE 访问COM接口 {8BC3F05E-D86B-11D0-A075-00C04FB68820}
2011-10-24 18:21:37 C:\WINDOWS\System32\WGATRAY.EXE 修改注册表项 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings\Data
2011-10-24 18:21:37 C:\WINDOWS\EXPLORER.EXE 拦截文件 C:\Documents and Settings\Administrator\「开始」菜单\程序\装机人员工具箱\常用批处理\简单修复\Autorun 病毒清除工具.CMD
2011-10-24 18:21:37 C:\WINDOWS\system32\nvcpl.dll 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:37 C:\WINDOWS\system32\nvcpl.dll 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-24 18:21:37 C:\Program Files\Avira\AntiVir Desktop\AVGNT.EXE 修改注册表项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
2011-10-24 18:21:37 C:\WINDOWS\System32\CTFMON.EXE 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
2011-10-24 18:21:37 C:\WINDOWS\System32\CTFMON.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:37 C:\WINDOWS\System32\CTFMON.EXE 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-24 18:21:37 C:\WINDOWS\system32\nvcpl.dll 访问内存 C:\WINDOWS\EXPLORER.EXE
2011-10-24 18:21:44 C:\WINDOWS\system32\nvcpl.dll 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\AVGNT.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\AVGNT.EXE 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-24 18:21:44 C:\WINDOWS\system32\nvcpl.dll 修改文件 C:\Documents and Settings\Administrator\Application Data\SogouPY.users\00000001\sgim_url.bin
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\AVGUARD.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改注册表项 HKUS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec
2011-10-24 18:21:44 C:\WINDOWS\System32\NVSVC32.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改注册表项 HKUS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改注册表项 HKUS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 C:\WINDOWS\TEMP\CabC.tmp
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\AVGUARD.EXE 修改注册表项 HKLM\SYSTEM\ControlSet???\Services\avipbb
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\AVSHADOW.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\AVGUARD.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改注册表项 HKUS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\2BF68F4714092295550497DD56F57004
2011-10-24 18:21:44 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\2BF68F4714092295550497DD56F57004
2011-10-24 18:21:58 C:\WINDOWS\System32\NVSVC32.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:58 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\2BF68F4714092295550497DD56F57004
2011-10-24 18:21:58 C:\Program Files\COMODO\COMODO Internet Security\CMDAGENT.EXE 拦截文件 C:\Program Files\COMODO\COMODO Internet Security\database\vendor.h
2011-10-24 18:21:58 C:\Program Files\COMODO\COMODO Internet Security\CMDAGENT.EXE 拦截文件 C:\Program Files\COMODO\COMODO Internet Security\database\vendor.h
2011-10-24 18:21:58 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:58 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改注册表项 HKUS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec
2011-10-24 18:21:58 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
2011-10-24 18:21:58 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
2011-10-24 18:21:58 C:\Program Files\Avira\AntiVir Desktop\SCHED.EXE 修改文件 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
2011-10-24 18:21:58 C:\Program Files\KSafe\KSafeTray.exe 拦截文件 C:\Program Files\Windows Media Player\WMPNetwk.exe
2011-10-24 18:21:58 C:\WINDOWS\RTHDCPL.EXE 修改文件 \Device\NamedPipe\EVENTLOG
2011-10-24 18:21:58 C:\WINDOWS\RTHDCPL.EXE 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-24 18:21:58 C:\WINDOWS\RTHDCPL.EXE 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:58 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-24 18:21:58 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData

这就是刚开机重启的日志,开机前清空了的

显示全部楼层 · 发表于 2011-10-24 18:29:04

qq2489226 发表于 2011-10-24 18:27
2011-10-24 18:21:37 C:\Program Files\WinArchiver Virtual Drive\WAService.exe 修改文件 \Devic ...

把C:\Program Files\Avira\AntiVir Desktop\*加入安软文件组

显示全部楼层 · 发表于 2011-10-24 18:38:35

mxf147 发表于 2011-10-24 18:29
把C:\Program Files\Avira\AntiVir Desktop\*加入安软文件组

要给这个文件组设置什么规则吗?还是添加了就可以? 之前我是自己添加了一个文件组把红伞目录放进去用预定义的"可信程序系统"这个规则可是不行

显示全部楼层 · 发表于 2011-10-24 19:02:50

本帖最后由紫涵于 2011-10-24 19:03 编辑

qq2489226 发表于 2011-10-24 18:38
要给这个文件组设置什么规则吗?还是添加了就可以? 之前我是自己添加了一个文件组把红伞目录放进去用预定 ...

你要加到“安软文件组”，不能自己加一个。
不是自己打造的规则就得按别人的思路来处理。

显示全部楼层 · 发表于 2011-10-24 19:03:58

qq2489226 发表于 2011-10-24 18:38
要给这个文件组设置什么规则吗?还是添加了就可以? 之前我是自己添加了一个文件组把红伞目录放进去用预定 ...

加入到内置的“安软文件组“中

显示全部楼层 · 发表于 2011-10-24 19:05:14

紫涵发表于 2011-10-24 19:02
你要加到“安软文件组”，不能自己加一个。
不是自己打造的规则就得按别人的思路来处理。

新淫不懂啊现在知道了

显示全部楼层 · 发表于 2011-10-24 19:05:42

mxf147 发表于 2011-10-24 19:03
加入到内置的“安软文件组“中

好的我试试感谢版主的规则

显示全部楼层 · 发表于 2011-10-25 12:23:02

谢谢斑竹的规则还有一个小问题就是我的电脑上安装了WinArchiver Virtual Drive一个免费的虚拟CD / DVD光盘工具,WinArchiver Virtual Drive可以瞬间安装ZIP，RAR，7Z和多种类型的压缩为虚拟驱动器。介绍点这里
之前都可以直接打开压缩包里面的程序,现在不行了,RAR的提示是:
! E:\改软相关\字符串查询.zip: 无法创建 CodeQuery.exe
拒绝访问。
! E:\改软相关\字符串查询.zip: 没有文件被解压
! 无法执行“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX92.264\CodeQuery.exe”

日志是:
2011-10-25 12:19:13 C:\Program Files\WinRAR\WinRAR.exe 修改文件 C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX57.264\CodeQuery.exe
2011-10-25 12:19:44 C:\Program Files\WinRAR\WinRAR.exe 修改文件 C:\Documents and Settings\Administrator\Application Data\SogouPY.users\00000001\sgim_usr_v1.bin
2011-10-25 12:19:44 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:19:44 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-25 12:19:44 C:\Program Files\WinRAR\WinRAR.exe 修改文件 C:\Documents and Settings\Administrator\Application Data\SogouPY.users\00000001\sgim_usr_v1.bin
2011-10-25 12:19:44 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:19:44 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-25 12:19:44 C:\Program Files\WinRAR\WinRAR.exe 修改文件 C:\Documents and Settings\Administrator\Application Data\SogouPY.users\00000001\sgim_url.bin
2011-10-25 12:19:44 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:19:44 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\BaseClass
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\WinRAR\Interface\Themes\ShellExtBMP
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改注册表项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 访问内存 C:\WINDOWS\EXPLORER.EXE
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改文件 C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX54.264\CodeQuery.exe
2011-10-25 12:19:53 C:\Program Files\WinRAR\WinRAR.exe 修改文件 C:\Documents and Settings\Administrator\Application Data\SogouPY.users\00000001\sgim_usr_v1.bin
2011-10-25 12:20:01 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:20:01 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-25 12:20:01 C:\Program Files\WinRAR\WinRAR.exe 修改文件 C:\Documents and Settings\Administrator\Application Data\SogouPY.users\00000001\sgim_usr_v1.bin
2011-10-25 12:20:01 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:20:01 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-25 12:20:01 C:\Program Files\WinRAR\WinRAR.exe 修改文件 C:\Documents and Settings\Administrator\Application Data\SogouPY.users\00000001\sgim_url.bin
2011-10-25 12:20:01 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改文件 \Device\NamedPipe\lsarpc
2011-10-25 12:20:01 C:\Program Files\SogouPinyin\Sogou\5.2.0.5374\SGTool.exe 修改注册表项 HKUS\S-1-5-21-796845957-1580436667-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
请问应该怎么排除呢?

没有这个软件实在不方便

显示全部楼层 · 发表于 2011-10-25 12:54:26

迅雷我放进下载工具组了,只是如果下载的是exe文件,最后都是卡在99.9%,其实已经下载完了,只是后缀还是迅雷的临时文件.td,要手动改,如果是浏览器下载exe的话,好像在什么目录都找不到(我用的枫树),这个又怎么排除呢?新手问题比较多

显示全部楼层 · 发表于 2011-10-25 14:03:55

qq2489226 发表于 2011-10-25 12:54
迅雷我放进下载工具组了,只是如果下载的是exe文件,最后都是卡在99.9%,其实已经下载完了,只是后缀还是迅雷的 ...

在“普通程序_[下载]”排除一下你常用的下载目录

[规则] 迎国庆-COMODO - Lamborghini Series(Update@2011-10-19)