出现个后门程序，应该怎么清除？

显示全部楼层 · 发表于 2007-9-12 15:00:45

2007-9-12 14:37:15 已由访问保护规则禁止
NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\CC1.txt 防病毒爆发控制:将所有共享项设为只读已阻止的操作: 创建

这应该是1433的自动传马工具但是却看不出来从哪运行的另外在注册表中Run下都没有这样的注册文件，
请高手们分析一下！

显示全部楼层 · 发表于 2007-9-12 23:08:18

找不到也没关系啦，反正运行不了，用咖啡么就是要体验身在百毒，而不染的快感

显示全部楼层 · 发表于 2007-9-13 02:05:31

呵呵...偶已经体会到了..

显示全部楼层 · 发表于 2007-9-13 18:43:41

岂不是出淤泥而不染

显示全部楼层 · 发表于 2007-9-13 19:21:24

用SREng扫个报告看看！

显示全部楼层 · 发表于 2007-9-15 05:18:37

加一条规则：看看是哪一个程序启动了cmd.exe
启动cmd.exe的那个程序就很有可能是病毒或者木马了

禁止任何进程执行 **\cmd.exe 然后看看日志

显示全部楼层 · 发表于 2007-9-15 12:57:26

同意上面兄弟的想法.身在百毒，而不染的快感

显示全部楼层 · 发表于 2007-9-15 18:37:44

可以建一个规则看看是否有什么不明的程序试图调用cmd.exe
不排除是来自网络的一些恶意，一般已阻止的应该就没什么事了

[ 本帖最后由小邪邪于 2007-9-15 18:39 编辑 ]

显示全部楼层 · 发表于 2007-9-16 10:34:56

应该是禁止任何进程执行 **\C:\WINDOWS\system32\cmd.exe

显示全部楼层 · 发表于 2007-9-18 18:51:37

我已经用了禁止CMD.EXE的规则了
但显示的都是 NT AUTHORITY\SYSTEM
依然看不出是什么在调用CMD.EXE
我想既然在run下没有什么乱78糟的注册信息
应该就是在网页上挂的网马或是一些script代码了
在规则的保护下
应该是没有什么问题的

[讨论] 出现个后门程序，应该怎么清除？