查看: 1750|回复: 8
收起左侧

[已解决] 请教高手,咖啡的日志提示

[复制链接]
hjg2000
发表于 2013-5-12 21:01:08 | 显示全部楼层 |阅读模式
本帖最后由 hjg2000 于 2013-5-14 09:45 编辑

C:\WINDOWS\system32\cmd.exe        C:\WINDOWS\System32\log.dat        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建

2013-5-12        20:29:00        已由访问保护规则禁止         PCOS-04242008\Administrator       
C:\WINDOWS\system32\ftp.exe        C:\WINDOWS\System32\WS2_32.dll        用户定义的规则:05 管制系统_文件已阻止的操作: 执行

2013-5-12        20:16:12        已由访问保护规则禁止         PCOS-04242008\Administrator       
C:\WINDOWS\system32\cmd.exe        C:\sm.log        用户定义的规则:07 保护根目录_C盘        已阻止的操作: 创建

C:\WINDOWS\system32\cmd.exe        C:\WINDOWS\System32\log.dat        防病毒爆发控制:将所有共享项设为只读 已阻止的操作: 创建

2013-5-12        18:35:29        已由访问保护规则禁止         PCOS-04242008\Administrator       
C:\WINDOWS\system32\ftp.exe        C:\WINDOWS\System32\WS2_32.dll        用户定义的规则:05 管制系统_文件       
已阻止的操作: 执行

2013-5-12        18:42:48        已由访问保护规则禁止         PCOS-04242008\Administrator       
C:\WINDOWS\system32\cmd.exe        C:\WINDOWS\run.vbs        防病毒爆发控制:将所有共享项设为只读       
已阻止的操作: 创建

2013-5-12        18:42:48        已由访问保护规则禁止         PCOS-04242008\Administrator       
C:\WINDOWS\system32\cmd.exe        C:\WINDOWS\run2.vbs        防病毒爆发控制:将所有共享项设为只读       
已阻止的操作: 创建

2013-5-12        17:49:34        已由访问保护规则禁止         PCOS-04242008\Administrator       
C:\WINDOWS\system32\cmd.exe        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tudou.vbs        防病毒爆发控制:将
所有共享项设为只读        已阻止的操作: 创建

2013-5-12        18:28:25        已由访问保护规则禁止         PCOS-04242008\Administrator       
C:\WINDOWS\system32\cmd.exe        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tudou.vbs        防病毒爆发控制:将
所有共享项设为只读        已阻止的操作: 创建


请问我的电脑是中木马了吗?
shiyuelaohu
发表于 2013-5-12 21:05:03 | 显示全部楼层
本帖最后由 shiyuelaohu 于 2013-5-12 21:42 编辑

修改一下,C:\WINDOWS\system32\cmd.exe很少有在C盘根目录下创建文件的行为,这个行为有点儿可疑,乃可以看看这个cmd.exe是什么时候创建的,如果是最近创建的话,那就小心了.话说你这个防病毒爆发控制中的将所有共享项设为只读是怎么回事?你改过了?应该是system:remote才对吧.

评分

参与人数 1经验 +3 收起 理由
心跳回忆 + 3 感谢解答: )

查看全部评分

lishaoyu007
发表于 2013-5-12 21:55:13 | 显示全部楼层
目测应该是中马了
欲创建的文件名同近期出现的一款木马下载其类似
如:http://bbs.kafan.cn/thread-1565912-1-1.html

同时根据日志判断
cmd.exe创建C盘根目录log.dat   windows目录下创建脚本 这本身就不符合常理,一般情况下cmd.exe很少有此类行为。
ftp.exe调用WS2_32.dll(Windows Sockets应用程序接口, 用于支持Internet和网络应用程序)进行网络信息交互。
而ftp.exe感染病毒后大多伴随有cmd.exe病毒

总之 目测感染病毒 具体情况还得根据实际情况而定 日志仅能反映出某文件的行为 不能作为判定病毒的必然依据。可将cmd.exe ftp.exe进行病毒检测或通过如验证文件签名、md5、创建日期等判定是否为原版文件。

评分

参与人数 1经验 +5 收起 理由
心跳回忆 + 5 感谢解答: )

查看全部评分

hjg2000
 楼主| 发表于 2013-5-12 22:08:28 | 显示全部楼层
我也感觉中了木马,日志还提示想创建一些文件
2013-5-12        21:34:59        已由访问保护规则禁止         PCOS-04242008\Administrator        C:\WINDOWS\system32\cmd.exe        C:\msn.log        用户定义的规则:07 保护根目录_C盘        已阻止的操作: 创建
2013-5-12        21:35:00        已由访问保护规则禁止         PCOS-04242008\Administrator        C:\WINDOWS\system32\cmd.exe        C:\one.sys        用户定义的规则:07 保护根目录_C盘        已阻止的操作: 创建
2013-5-12        21:35:00        已由访问保护规则禁止         PCOS-04242008\Administrator        C:\WINDOWS\system32\cmd.exe        C:\no.bat        用户定义的规则:07 保护根目录_C盘        已阻止的操作: 创建
2013-5-12        21:42:56        已由访问保护规则禁止         PCOS-04242008\Administrator        C:\WINDOWS\system32\cmd.exe        C:\msn.log        用户定义的规则:07 保护根目录_C盘        已阻止的操作: 创建
2013-5-12        21:42:57        已由访问保护规则禁止         PCOS-04242008\Administrator        C:\WINDOWS\system32\cmd.exe        C:\one.sys        用户定义的规则:07 保护根目录_C盘        已阻止的操作: 创建
2013-5-12        21:42:57        已由访问保护规则禁止         PCOS-04242008\Administrator        C:\WINDOWS\system32\cmd.exe        C:\no.bat        用户定义的规则:07 保护根目录_C盘        已阻止的操作: 创建
2013-5-12        21:53:48        已由访问保护规则禁止         PCOS-04242008\Administrator        C:\WINDOWS\system32\cmd.exe        C:\Ftp.txt        用户定义的规则:07 保护根目录_C盘        已阻止的操作: 创建
hjg2000
 楼主| 发表于 2013-5-12 22:34:40 | 显示全部楼层
本帖最后由 hjg2000 于 2013-5-12 22:43 编辑

前一个系统也有这种情况,重装后,不久又出现这样

刚才在c盘根目录创建了一个名字叫908的空文件夹
大猫熊
发表于 2013-5-12 22:59:09 | 显示全部楼层
这是很好的咖啡防御例子。。。很幸运咖啡至少帮你拦截了这个病毒的破坏作用。目测是盗号木马(生成log文件)。建议新建规则阻止任何程序访问bat, cmd, com等文件,然后查看日志,找到元凶。






    McAfee VirusScan Enterprise 8.8 P3
    Google Chrome beta
    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36
    jxfaiu
    发表于 2013-5-13 07:14:37 | 显示全部楼层
    本帖最后由 jxfaiu 于 2013-5-13 07:34 编辑
    hjg2000 发表于 2013-5-12 22:08
    我也感觉中了木马,日志还提示想创建一些文件
    2013-5-12        21:34:59        已由访问保护规则禁止         PCOS-04242008\A ...


    加规则:导出规则时须停用此规则
    规则名称:访问控制-脚本文件(全局)
    要包含的进程:?attrib.exe, at.exe, Cacls.exe, cmd.exe, cscript.exe, debug.exe, diskpart.exe, ftp.exe, mmc.exe, mshta.exe, ntoskrnl.exe, ntvdm.exe, regedit.exe, regsvr32.exe, replace.exe, runas.exe, sc.exe, schtasks.exe, script.exe, taskkill.exe, tasklist.exe, telnet.exe, tftp.exe, Tskill.exe, user.exe
    要排除的进程:无
    要阻止的文件或文件夹名:**
    要禁止的文件操作:读取 执行
    阻挡


    再加些入口规则:
    规则名称:入侵控制-bat(全局)
    要包含的进程:*
    要排除的进程:无
    要阻止的文件或文件夹名:**.bat
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-cmd(全局)
    要包含的进程:*
    要排除的进程:无
    要阻止的文件或文件夹名:**.cmd
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-com(全局)
    要包含的进程:*
    要排除的进程: 无
    要阻止的文件或文件夹名:**.com
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-cpl(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
    要阻止的文件或文件夹名:**.cpl
    要禁止的文件操作:写入 创建

    规则名称:入侵控制-dll(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
    要阻止的文件或文件夹名:**.dll
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-drv(全局)
    要包含的进程:*
    要排除的进程:
    要阻止的文件或文件夹名:**.drv
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-exe(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\Thunder Network\Thunder5\Program\Thunder5.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
    要阻止的文件或文件夹名:**.exe
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-htm(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
    要阻止的文件或文件夹名:**.htm
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-html(全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
    要阻挡的文件或文件名:**.html
    要阻止的文件操作:创建 写入
    阻挡

    规则名称:入侵控制-IE文件(全局)
    要包含的进程:*
    要排除的进程:无
    要阻挡的文件或文件名:**\Internet Explorer*\**
    要阻止的文件操作:创建 写入
    阻挡

    规则名称:入侵控制-inf(非全局)
    要包含的进程:*
    要排除的进程: C:\WINDOWS\system32\services.exe, C:\Windows\System32\svchost.exe
    要阻止的文件或文件夹名:**.inf
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-js(非全局)
    要包含的进程:*
    要排除的进程: C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.exe,
    要阻止的文件或文件夹名:**.js
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-msc(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
    要阻止的文件或文件夹名:**.msc
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-msi(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
    要阻止的文件或文件夹名:**.msi
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-msp(全局)
    要包含的进程:*
    要排除的进程:
    要阻止的文件或文件夹名:**.msp
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-ocx(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
    要阻止的文件或文件夹名:**.ocx
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-pif(全局)
    要包含的进程:*
    要排除的进程:
    要阻止的文件或文件夹名:**.pif
    要禁止的文件操作:写入 创建
    阻挡


    规则名称:入侵控制-scr(全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
    要阻止的文件或文件夹名:**.scr
    要禁止的文件操作:写入 创建
    阻挡


    规则名称:入侵控制-sys(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\WinRAR\WinRAR.exe
    要阻止的文件或文件夹名:**.sys
    要禁止的文件操作:写入 创建
    阻挡

    规则名称:入侵控制-vbs(非全局)
    要包含的进程:*
    要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
    要阻止的文件或文件夹名:**.vbs
    要禁止的文件操作:写入 创建
    阻挡
    hjg2000
     楼主| 发表于 2013-5-13 18:15:52 | 显示全部楼层
    shiyuelaohu 发表于 2013-5-12 21:05
    修改一下,C:\WINDOWS\system32\cmd.exe很少有在C盘根目录下创建文件的行为,这个行为有点儿可疑,乃可以看看这 ...

    cmd.exe 大小460K 占用空间464K 创建时间 2010年1月10日 修改时间 2008年4月13日

    防病毒爆发控制:
    将所有共享项设为只读
    要包含的进程:**
    要排除的进程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\notepad.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\notepad.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\WerFault.exe


    我用的是 墨池McAfee8.8 P2返璞规则
    hjg2000
     楼主| 发表于 2013-5-13 18:41:31 | 显示全部楼层
    感谢楼上几位提出的意见!
    今天早上发现杀毒软件发现  C:\WINDOWS\ztop\lsoss.exe 我把ztop这个文件夹删了,关机
    下午开机 发现 c:\windows\ztop\sysis.exe,C:\WINDOWS\ztop\lstss.exe

    中毒了
    您需要登录后才可以回帖 登录 | 快速注册

    本版积分规则

    手机版|杀毒软件|软件论坛| 卡饭论坛

    Copyright © KaFan  KaFan.cn All Rights Reserved.

    Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:19 , Processed in 0.123314 second(s), 17 queries .

    卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

    快速回复 客服 返回顶部 返回列表