查看: 2561|回复: 9
收起左侧

[讨论] 出现个后门程序,应该怎么清除?

[复制链接]
yzhh198312
发表于 2007-9-12 15:00:45 | 显示全部楼层 |阅读模式
2007-9-12 14:37:15 已由访问保护规则禁止  
NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\CC1.txt 防病毒爆发控制:将所有共享项设为只读 已阻止的操作: 创建

这应该是1433的自动传马工具 但是却看不出来从哪运行的 另外在注册表中Run下都没有这样的注册文件,
请高手们分析一下!
loveows
发表于 2007-9-12 23:08:18 | 显示全部楼层
找不到也没关系啦,反正运行不了,用咖啡么就是要体验身在百毒,而不染的快感
断事如见
发表于 2007-9-13 02:05:31 | 显示全部楼层
呵呵...偶已经体会到了..
yzhh198312
 楼主| 发表于 2007-9-13 18:43:41 | 显示全部楼层
岂不是出淤泥而不染
zea10t
发表于 2007-9-13 19:21:24 | 显示全部楼层
用SREng扫个报告看看!
lookf
发表于 2007-9-15 05:18:37 | 显示全部楼层
加一条规则:看看是哪一个程序启动了cmd.exe
启动cmd.exe的那个程序就很有可能是病毒或者木马了

禁止任何进程执行  **\cmd.exe  然后看看日志
卡饭_无情
发表于 2007-9-15 12:57:26 | 显示全部楼层
同意上面兄弟的想法.身在百毒,而不染的快感
小邪邪
发表于 2007-9-15 18:37:44 | 显示全部楼层
可以建一个规则看看是否有什么不明的程序试图调用cmd.exe
不排除是来自网络的一些恶意,一般已阻止的应该就没什么事了

[ 本帖最后由 小邪邪 于 2007-9-15 18:39 编辑 ]
worker321
头像被屏蔽
发表于 2007-9-16 10:34:56 | 显示全部楼层
应该是禁止任何进程执行 **\C:\WINDOWS\system32\cmd.exe
yzhh198312
 楼主| 发表于 2007-9-18 18:51:37 | 显示全部楼层
我已经用了禁止CMD.EXE的规则了
但显示的都是 NT AUTHORITY\SYSTEM
依然看不出是什么在调用CMD.EXE
我想既然在run下没有什么乱78糟的注册信息
应该就是在网页上挂的网马 或是一些script代码了
在规则的保护下
应该是没有什么问题的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 08:43 , Processed in 0.155801 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表