comodo的灵异行为....

抓抓

原帖由 baerzake 于 2008-8-29 19:00 发表
恩，病毒修改svchost然后下载病毒，很常见的病毒行为，看你那都是阻止的流氓软件，你BT下载的链接肯定有毒

从日志上看应该是一些程序调用svchost.exe（不是修改，，病毒没那么容易修改系统的这个核心进程，而且也没必要，就算必需，一般也是假冒一个svchost.exe）加载自己（或利用它启动某些服务方便自己，，）。。

原帖由 baerzake 于 2008-8-29 18:56 发表
不一定是调用，有可能是创建，被阻止了当然找不到了

最大可能是调用，而不是创建，，，，一般创建时应是调用explorer.exe
最初，svchost不存在创建程序（启动服务不算），除非这个svchost是假冒的。。。。。
（通过tasklist /svc查看调用的程序或服务名称，如果svchos后显示是“暂缺”，极有可能被感染）

不过还好，LZ这些都被阻止了。。。用局长的黑名单就不怕了，保持时时更新名单。。。。


修改：14楼说的对，，，谁也不能肯定那些东西就是病毒或流氓。。所以我把之前的“流氓”两个字删了。。。

[ 本帖最后由 抓抓 于 2008-8-30 11:06 编辑 ]

抓抓

另外，，应该注意注册表的这项：
[HKEY_LOCAL_MACHINE\Software \Microsoft\WindowsNT\CurrentVersion\Svchost]

病毒要想利用系统的svchost.exe(非假冒的)来调用或加载，通常要在这一项中增加。。。

gwg829

我也想说是有毒了   

无药可医也

请各位安装正版WINDOWS，装毛豆，用黑名单后，看日志再来说话，不要动不动就毒毒毒的误导人