感觉中招了～～～求解～

笨死的火星猪

刚才突然鼠标出现严重跳帧，移动卡顿，像被远控的感觉～～
马上断网，红伞查不出～～用了些辅助，发现的确有异常，启动项居然有个C:\WINDOWS\system32\9E.tmp，虽然文件显示已丢失，注册表位Root\LEGACY_MEMSWEEP2\0000怪异，大家应该没有这个吧～～
另外，有些木马似乎会去动系统文件verclsid.exe，我之前是有这个文件的，现在居然离奇的消失了～～～乖乖，也谢了把个一直想删没删掉的东西弄没了～～
本人pc使用习惯算好了，不乱看，不乱双击的
当然，不排除鼠标或usb接口问题了～但，断网后3秒马上好了～本身系统刚前天ghost了，应该干净的，被黑人瞄上了？个破机器里毛个东西哦，来翻个球啊～～
求解

anycall9696

ghost哪有干净的……
楼主这个情况，装comodo，可以找出问题所在或者证明你是错觉
如果这是远控，9E.tmp这个文件不重要，重要的是：谁释放的！那才是罪魁祸首

笨死的火星猪

anycall9696 发表于 2013-12-12 13:32
ghost哪有干净的……
楼主这个情况，装comodo，可以找出问题所在或者证明你是错觉

已经毛豆+红伞了，ghost是自己的清理的版本，用了都有年份来了，曾经经历过无数辅杀的扫描和清理啊
另外，如果系统已经中招，毛豆估计要表示无能为力了吧～～已经是CPS疯狂模式了，CTL满分的手动规则～～但很奇怪那个temp下的启动项是怎么被添加进去的～～～
更诡异的是那个系统文件verclsid.exe

anycall9696

笨死的火星猪 发表于 2013-12-12 13:42
已经毛豆+红伞了，ghost是自己的清理的版本，用了都有年份来了，曾经经历过无数辅杀的扫描和清理啊[:12 ...

别用CPS，用CIS，这个防火墙默认隐藏端口，
HIPS用安全模式，然后删掉除微软签名以外所有签名，关闭云
还有一点%windir%\*\svchost.exe这两个文件规则从系统文件里提出来，单独询问启动别的程序
像迅雷，腾讯等流氓DLL文件都是开机自动加载宿主服务，必须单独询问

打个比方，迅雷的检测程序，IDM的进程，腾讯的P2P插件，这些就算你用COMODO疯狂模式你也查不出来，因为在COMODO理，宿主服务是系统程序，最高权限，这个要提出来单独问询，不给中国流氓机会

你自己看，禁止了多少……我根本就没装几个中国软件，几乎每个中国软件都是流氓，迅雷的看看，检测程序，腾讯的，阿里的不要脸的线程（联网更新的），都是偷偷通过svchost.exe来执行

笨死的火星猪

anycall9696 发表于 2013-12-12 13:49
别用CPS，用CIS，这个防火墙默认隐藏端口，
HIPS用安全模式，然后删掉除微软签名以外所有签名，关闭云
...

CPS默认防护项目高于CIS吧？！防火墙一直隐藏端口设置，受信任软件商早就被我删的只剩下微软、comdo、红伞三个了；受信任软件只有红伞毛豆及本地一款笔记本防盗的脱机软件，svchost.exe以前单独做了规则，后来没用了，因为怀疑关机卡很久与这个规则有关～～
我个现象与通常流氓软件还是有差别吧，我只用早就绝迹了的迅雷4，而且有严厉的防火墙规则限制的它连官网广告都没有；腾讯的只用干净的一塌糊涂的TM2009，而且少开的很。
唉，的确以前纠结过阵子svchost的程序规则，这个地方绝对有可能疏漏的～～

祖玛

anycall9696 发表于 2013-12-12 13:49
别用CPS，用CIS，这个防火墙默认隐藏端口，
HIPS用安全模式，然后删掉除微软签名以外所有签名，关闭云 ...

什么版本的，感觉好清爽。

牧岩

anycall9696 发表于 2013-12-12 13:49
别用CPS，用CIS，这个防火墙默认隐藏端口，
HIPS用安全模式，然后删掉除微软签名以外所有签名，关闭云 ...

楼主所说的中国软件……楼主难道是移民的节奏？？

gemini09

感觉PE里面急救箱查杀比较干净彻底

猪)

中招是肯定的了