我的ie浏览器 svchost正常么》？？

nimble-zx

我用的是小红伞， comodo pro2.4 ，dw ，360
在前几天系统自动升级了以后
ie浏览器，svchost在毛豆里就变成高危险安全事件了
图片太大了放不上来 就只能截点日志弄上来了
不敢截的太多  免得有人会看不下去
有需要详细的话 可以把他们都补 上
这些是ie的 日期/时间: 2008-02-03 17:32:00
级别: 高
报告者: 应用程序监视器
描述: 应用程序拒绝访问（iexplore.exe:59.151.43.102: :http(80)）
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: TCP 出站
目标: 59.151.43.102::http(80)
日期/时间: 2008-02-03 17:30:50
级别: 高
报告者: 应用程序行为分析
描述: 可疑行为（iexplore.exe）
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: TCP 出站
目标: 59.151.43.102::http(80)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\Program Files\Internet Explorer\iexplore.exe，此行为有可能被用以劫持其它应用程序。
日期/时间: 2008-02-03 17:30:50
级别: 高
报告者: 应用程序行为分析
描述: 可疑行为（iexplore.exe）
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: UDP 出站
目标: 202.102.134.68::dns(53)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\Program Files\Internet Explorer\iexplore.exe，此行为有可能被用以劫持其它应用程序。
日期/时间: 2008-02-03 17:30:50
级别: 高
报告者: 应用程序行为分析
描述: 可疑行为（iexplore.exe）
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: TCP 出站
目标: 59.151.3.120::http(80)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\Program Files\Internet Explorer\iexplore.exe，此行为有可能被用以劫持其它应用程序。
这些是svchost的


日期/时间: 2008-02-03 17:22:15
级别: 高
报告者: 应用程序行为分析
描述: 可疑行为（svchost.exe）
应用程序: C:\WINDOWS\system32\svchost.exe
父程序: C:\WINDOWS\system32\services.exe
协议: TCP 出站
目标: 210.45.240.131::http(80)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\WINDOWS\system32\svchost.exe，此行为有可能被用以劫持其它应用程序。
日期/时间: 2008-02-03 17:18:49
级别: 中
报告者: 应用程序监视器
描述: 应用程序拒绝访问（svchost.exe:192.168.1.2: :upnp-mcast(1900)）
应用程序: C:\WINDOWS\system32\svchost.exe
父程序: C:\WINDOWS\system32\services.exe
协议: UDP 入站
目标: 192.168.1.2::upnp-mcast(1900)
日期/时间: 2008-02-03 17:18:49
级别: 高
报告者: 应用程序监视器
描述: 应用程序拒绝访问（svchost.exe:192.168.1.2: :ntp(123)）
应用程序: C:\WINDOWS\system32\svchost.exe
父程序: C:\WINDOWS\system32\services.exe
协议: UDP 入站
目标: 192.168.1.2::ntp(123)
日期/时间: 2008-02-03 17:18:49
级别: 高
报告者: 应用程序行为分析
描述: 可疑行为（svchost.exe）
应用程序: C:\WINDOWS\system32\svchost.exe
父程序: C:\WINDOWS\system32\services.exe
协议: UDP 入站
目标: 192.168.1.2::1035
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\WINDOWS\system32\svchost.exe，此行为有可能被用以劫持其它应用程序。还有udp出站入站的端口有67，68，80，123，1035，1049，1048，1900
本人菜菜  不知道是什么问题   
请高手来看一下是不是有问题
有时候开网页就有提示出来说
c:/windows/explorer.exe试图通过OLE操作使用iexplore.exe，这种行为可能会使被用以劫持它的应用程序。
explorer.exe可能使用iexplore.exe连接Interntet。
安全评估是X                    

nimble-zx

那么多人看了
都没人帮个忙的么

hyxuzhimin

我不懂啊..... 还是截图看起来形象点。

saga3721

貌似没什么

zoes

首先，你应该说清楚IE的那些日志是你执行IE里生成的呢？还是你没有执行IE从日志里发现的。

通常情况下，Exploere不会通过OLE方式调用IE的；

正常情况下，Explorer肯定不会通过OLE方式调用Svchost去联网。

本人觉得你中毒的可能性较大。

saga3721

要是有木马程序注入当时Comodo就应该显示某某程序注入某某的行为了吧

nimble-zx

我用的是c版小红伞
日志是ie执行的时候跳出来的
查杀的时候都没什么什么杀出来
就只有2个warming
安全模式查毒也没杀出什么东西

[ 本帖最后由 nimble-zx 于 2008-2-4 19:44 编辑 ]

martionhao

只要IE开53.80其他的都禁了都没有关系

nimble-zx

事实上我现在上网用的都是开始菜单里的浏览器图标（53 80我开了防火墙提示是正常的）
桌面上原来的IE图标 只要一点进去就有高危险要使用OLE连接
我吧桌面上的要连接网络的端口全关了，就用开始里的IE浏览器图标可以正常上网
现在再系统自动更新完以后（前3天吧）用开始菜单里的IE浏览器上网，开始的时候是正常的
在有时候点连接的时候，警告窗口就跳出来了[localimg=358,350]4[/localimg]
日志里
[localimg=320,35]1[/localimg]
[localimg=371,54]2[/localimg]
[localimg=484,57]3[/localimg]


你拒绝了的话 后面的网页就开不掉了
郁闷到家了啊


附件传不上来。？？？只能用语言来形容了
级别: 高
报告者: 应用程序行为分析
描述: 可疑行为（iexplore.exe）
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: TCP 出站
目标: 59.151.43.102::http(80)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\Program Files\Internet Explorer\iexplore.exe，此行为有可能被用以劫持其它应用程序。

saga3721

在装完系统确定无毒时第一次上网防火墙提示IE的相关程序行为等，选择一直允许了那么下次就不会再次提示同一个操作了。之后有木马入侵也是一样的，假如使用中有木马程序试图注入，比如注入svchost.exe，那么Comodo应该在此时提示某某程序试图注入svchost.exe，或者有的木马冒名成svchost试图注入IE，此时由于MD5验证不符，防火墙也能提示告警，还有的木马行为是提示某个陌生程序被系统进程调用更打算进一步出站连接让你决定是否允许，这些才是最关键的！这样就可以这个程序本身是好是坏来断定了，其实svchost本身是正常的没有注入你不必管它。要光说操作不知道是那个程序执行的来分辨是正常是恶意那大概需要真正的微软工程师级别（非客服所谓的工程师）的人才知道了。
当然，我还没用过Comodo是以其他防火墙作例子，我想Comoco也是这样的。

[ 本帖最后由 saga3721 于 2008-2-5 06:47 编辑 ]