我朋友的服务器被黑了，自己的论坛好像也挂了小红伞被过了

fqcomodo

原帖由 tanlimo 于 2008-9-17 16:11 发表
我不是说这个论坛服务器是不是处于局域网，我是想说你的那个用金山测出有毒的朋友是不是在局域网环境里？

我刚才问了。我那朋友的用金山查到毒的是在局域网（公司上的）


可是这个论坛前2天也被挂过毒（论坛短消息就被挂毒了，被火狐拒绝浏览短消息） 然后我的红伞没报警！！

今天我朋友在局域网环境下登陆论坛 他的金山报警

[ 本帖最后由 fqcomodo 于 2008-9-17 16:19 编辑 ]

tanlimo

可能是你那朋友所在的局域网里存在arp欺骗攻击，所以上这个论坛会报毒，刚刚又分析了下这个论坛的代码没有发现被挂马的迹象。

tanlimo

问题是这个论坛目前基本上处于封闭状态，只能浏览到一个页面，所以,,,,至少从这一个页面上我没有看出那里有被挂马的迹象

fqcomodo

原帖由 tanlimo 于 2008-9-17 16:20 发表
可能是你那朋友所在的局域网里存在arp欺骗攻击，所以上这个论坛会报毒，刚刚又分析了下这个论坛的代码没有发现被挂马的迹象。

呵呵。谢谢解答。但是我朋友又出现了一个问题 2008-09-16 21:19:29    浏览器试图运行一个可疑的模块C:\Program Files\internet explorer\iedw.exe，已被阻止。
2008-09-16 21:19:30    浏览器试图运行一个可疑的模块C:\WINDOWS\system32\dwwin.exe -x -s 5156，已被阻止。
2008-09-16 23:25:23    浏览器试图运行一个可疑的模块C:\Program Files\internet explorer\iedw.exe，已被阻止。


现在连论坛后台都登陆不上了

tanlimo

C:\Program Files\internet explorer\iedw.exe

出现这个是因为浏览器出错了.......

fqcomodo

他门连自己的后台都登陆不上了狂晕

fqcomodo

原帖由 tanlimo 于 2008-9-17 16:35 发表
你让他换个浏览器试试

2008-09-16 21:19:29    浏览器试图运行一个可疑的模块C:\Program Files\internet explorer\iedw.exe，已被阻止。
2008-09-16 21:19:30    浏览器试图运行一个可疑的模块C:\WINDOWS\system32\dwwin.exe -x -s 5156，已被阻止。
2008-09-16 23:25:23    浏览器试图运行一个可疑的模块C:\Program Files\internet explorer\iedw.exe，已被阻止。


这是金山的报警信息！ 不是浏览器问题

tanlimo

进程文件: iedw.exe
进程名称: IE Crash Detection
进程分析: InternetExplorer加载项管理和故障检测，用户可以通过它查看、启用和禁用InternetExplorer使用的加载项，并确定可能与InternetExplorer故障有关的加载项。管理员可以强制执行一组允许或禁止的加载项，并且限制用户管理加载项的能力。利用InternetExplorer加载项管理，用户可以用比以前更详细的控制程度来查看和控制可由InternetExplorer加载的加载项列表。加载项管理还可以显示某些加载项的存在，而这些是以前不显示并且很难检测的。InternetExplorer加载项故障检测尝试检测InternetExplorer中与加载项有关的故障。当成功识别加载项后，此信息将提供给用户。用户可以选择禁用加载项，以诊断故障，并提高InternetExplorer的整体稳定性。

dwwin-dwwin.exe-进程信息
进程文件：dwwin或者dwwin.exe
进程名称：MicrosoftDoctorWatson
描述：
dwwin.exe是微软DoctorWatson错误报告程序，包括在一些微软的产品中。

如果IE出错就会调用这两个进程，它们都是正常的系统文件，目前清理专家的防挂马功能还不具备智能分析的能力只要是IE要调用的程序不在可信认证的白名单里都会提示你的。
　　

[ 本帖最后由 tanlimo 于 2008-9-17 16:50 编辑 ]

fqcomodo

刚得到通知 我门论坛的服务器在日本。哎 现在连后台都操作不上了

sanhu35

可能被其他东西过了