查看: 4298|回复: 11
收起左侧

[求助] 我的ie浏览器 svchost正常么》??

[复制链接]
nimble-zx
发表于 2008-2-3 18:42:47 | 显示全部楼层 |阅读模式
我用的是小红伞, comodo pro2.4 ,dw ,360
在前几天系统自动升级了以后
ie浏览器,svchost在毛豆里就变成高危险安全事件了
图片太大了放不上来 就只能截点日志弄上来了
不敢截的太多  免得有人会看不下去
有需要详细的话 可以把他们都补
这些是ie的 日期/时间: 2008-02-03 17:32:00
级别:
报告者: 应用程序监视器
描述: 应用程序拒绝访问(iexplore.exe:59.151.43.102: :http(80))
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: TCP 出站
目标: 59.151.43.102::http(80)
日期/时间: 2008-02-03 17:30:50
级别:
报告者: 应用程序行为分析
描述: 可疑行为(iexplore.exe)
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: TCP 出站
目标: 59.151.43.102::http(80)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\Program Files\Internet Explorer\iexplore.exe,此行为有可能被用以劫持其它应用程序。
日期/时间: 2008-02-03 17:30:50
级别:
报告者: 应用程序行为分析
描述: 可疑行为(iexplore.exe)
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: UDP 出站
目标: 202.102.134.68::dns(53)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\Program Files\Internet Explorer\iexplore.exe,此行为有可能被用以劫持其它应用程序。
日期/时间: 2008-02-03 17:30:50
级别:
报告者: 应用程序行为分析
描述: 可疑行为(iexplore.exe)
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: TCP 出站
目标: 59.151.3.120::http(80)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\Program Files\Internet Explorer\iexplore.exe,此行为有可能被用以劫持其它应用程序。

这些是svchost的


日期/时间: 2008-02-03 17:22:15
级别:
报告者: 应用程序行为分析
描述: 可疑行为(svchost.exe)
应用程序: C:\WINDOWS\system32\svchost.exe
父程序: C:\WINDOWS\system32\services.exe
协议: TCP 出站
目标: 210.45.240.131::http(80)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\WINDOWS\system32\svchost.exe,此行为有可能被用以劫持其它应用程序。
日期/时间: 2008-02-03 17:18:49
级别:
报告者: 应用程序监视器
描述: 应用程序拒绝访问(svchost.exe:192.168.1.2: :upnp-mcast(1900))
应用程序: C:\WINDOWS\system32\svchost.exe
父程序: C:\WINDOWS\system32\services.exe
协议: UDP 入站
目标: 192.168.1.2::upnp-mcast(1900)
日期/时间: 2008-02-03 17:18:49
级别:
报告者: 应用程序监视器
描述: 应用程序拒绝访问(svchost.exe:192.168.1.2: :ntp(123))
应用程序: C:\WINDOWS\system32\svchost.exe
父程序: C:\WINDOWS\system32\services.exe
协议: UDP 入站
目标: 192.168.1.2::ntp(123)
日期/时间: 2008-02-03 17:18:49
级别:
报告者: 应用程序行为分析
描述: 可疑行为(svchost.exe)
应用程序: C:\WINDOWS\system32\svchost.exe
父程序: C:\WINDOWS\system32\services.exe
协议: UDP 入站
目标: 192.168.1.2::1035
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\WINDOWS\system32\svchost.exe,此行为有可能被用以劫持其它应用程序。还有udp出站入站的端口有67,68,80,123,1035,1049,1048,1900
本人菜菜  不知道是什么问题   
请高手来看一下是不是有问题
有时候开网页就有提示出来说
c:/windows/explorer.exe试图通过OLE操作使用iexplore.exe,这种行为可能会使被用以劫持它的应用程序。
explorer.exe可能使用iexplore.exe连接Interntet。
安全评估是X                    
nimble-zx
 楼主| 发表于 2008-2-3 23:47:06 | 显示全部楼层

那么多人看了
都没人帮个忙的么
hyxuzhimin
发表于 2008-2-4 09:33:06 | 显示全部楼层
我不懂啊..... 还是截图看起来形象点。
saga3721
发表于 2008-2-4 09:35:56 | 显示全部楼层
貌似没什么
zoes
发表于 2008-2-4 12:08:16 | 显示全部楼层
首先,你应该说清楚IE的那些日志是你执行IE里生成的呢?还是你没有执行IE从日志里发现的。

通常情况下,Exploere不会通过OLE方式调用IE的;

正常情况下,Explorer肯定不会通过OLE方式调用Svchost去联网。

本人觉得你中毒的可能性较大。
saga3721
发表于 2008-2-4 12:16:13 | 显示全部楼层
要是有木马程序注入当时Comodo就应该显示某某程序注入某某的行为了吧
nimble-zx
 楼主| 发表于 2008-2-4 19:41:26 | 显示全部楼层

回复 5楼 的帖子

我用的是c版小红伞
日志是ie执行的时候跳出来的
查杀的时候都没什么什么杀出来
就只有2个warming
安全模式查毒也没杀出什么东西

[ 本帖最后由 nimble-zx 于 2008-2-4 19:44 编辑 ]
martionhao
发表于 2008-2-4 19:59:58 | 显示全部楼层
只要IE开53.80其他的都禁了都没有关系
nimble-zx
 楼主| 发表于 2008-2-4 20:56:48 | 显示全部楼层

回复 8楼 的帖子

事实上我现在上网用的都是开始菜单里的浏览器图标(53 80我开了防火墙提示是正常的)
桌面上原来的IE图标 只要一点进去就有高危险要使用OLE连接
我吧桌面上的要连接网络的端口全关了,就用开始里的IE浏览器图标可以正常上网
现在再系统自动更新完以后(前3天吧)用开始菜单里的IE浏览器上网,开始的时候是正常的
在有时候点连接的时候,警告窗口就跳出来了[localimg=358,350]4[/localimg]
日志里
[localimg=320,35]1[/localimg]
[localimg=371,54]2[/localimg]
[localimg=484,57]3[/localimg]


你拒绝了的话 后面的网页就开不掉了
郁闷到家了啊


附件传不上来。???只能用语言来形容了
级别: 高
报告者: 应用程序行为分析
描述: 可疑行为(iexplore.exe)
应用程序: C:\Program Files\Internet Explorer\iexplore.exe
父程序: C:\WINDOWS\explorer.exe
协议: TCP 出站
目标: 59.151.43.102::http(80)
详细资料: C:\WINDOWS\explorer.exe 试图通过 OLE 操作使用 C:\Program Files\Internet Explorer\iexplore.exe,此行为有可能被用以劫持其它应用程序。
saga3721
发表于 2008-2-5 06:31:41 | 显示全部楼层
在装完系统确定无毒时第一次上网防火墙提示IE的相关程序行为等,选择一直允许了那么下次就不会再次提示同一个操作了。之后有木马入侵也是一样的,假如使用中有木马程序试图注入,比如注入svchost.exe,那么Comodo应该在此时提示某某程序试图注入svchost.exe,或者有的木马冒名成svchost试图注入IE,此时由于MD5验证不符,防火墙也能提示告警,还有的木马行为是提示某个陌生程序被系统进程调用更打算进一步出站连接让你决定是否允许,这些才是最关键的!这样就可以这个程序本身是好是坏来断定了,其实svchost本身是正常的没有注入你不必管它。要光说操作不知道是那个程序执行的来分辨是正常是恶意那大概需要真正的微软工程师级别(非客服所谓的工程师)的人才知道了。
当然,我还没用过Comodo是以其他防火墙作例子,我想Comoco也是这样的。

[ 本帖最后由 saga3721 于 2008-2-5 06:47 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-1 15:07 , Processed in 0.128332 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表