我是不是中毒了，帮忙看下日志

显示全部楼层 · 发表于 2009-5-19 12:20:59

今天开电脑发现ie修改注册表，感觉不是很对头，请高手帮忙看下日志。
昨天使用同学U盘是被红伞杀到毒了，今天就出现这种情况。

显示全部楼层 · 发表于 2009-5-19 13:50:07

个人认为那个ie的动作问题不大，阻止了也就行了。不过你打补丁的时候为什么不放行补丁程序访问注册表呢？？

比如：
C:\Program Files\Kingsoft Antispy\ksa\Patches\office2003-KB956357-FullFile-CHS.exe
修改注册表键 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0

还有一点既然使用了金山清理专家，为何就不能信任那个程序呢？

这些动作比较可疑了，清除临时文件试一试：

比如：

C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	修改文件	C:\WINDOWS\system32\SogouPy.ime
05/18/09 12:04:10	C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	修改注册表键	HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations

:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	修改文件	C:\Program Files\SogouInput\4.0.0.1959\ErrorReport.exe
05/18/09 12:05:35	C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	修改文件	C:\Program Files\SogouInput\4.0.0.1959\ErrorReport.exe
05/18/09 12:05:44	C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	直接内存访问	\device\physicalmemory
05/18/09 12:05:48	C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	修改文件	C:\WINDOWS\system32\test.tmp;
05/18/09 12:05:54	C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	访问内存	C:\WINDOWS\EXPLORER.EXE
05/18/09 12:05:58	C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	修改注册表键	HKUS\S-1-5-21-527237240-1645522239-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu
05/18/09 12:06:01	C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	修改注册表键	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu
05/18/09 12:06:06	C:\Documents and Settings\Administrator\Local Settings\Temp\0.exe	修改注册表键	HKUS\S-1-5-21-527237240-1645522239-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Run\OlympicExpress

楼下继续。

[ 本帖最后由小静电于 2009-5-19 13:53 编辑 ]

显示全部楼层 · 发表于 2009-5-19 13:56:26

安全软件之间相互信任好点~
C:\Program Files\Kingsoft Antispy\ksa\ksamain.exe 访问内存 C:\Program Files\Kingsoft\KAC\Service\kaccore.exe
这条有点太严了，自己访问自己都不让了

显示全部楼层 · 发表于 2009-5-19 13:59:33

我个人完全信任了金山清理，包括访问毛豆的内存。

显示全部楼层 · 发表于 2009-5-19 14:03:25

我觉得还是要防下修改毛豆的注册表，怕万一把规则给弄缺了

显示全部楼层 · 发表于 2009-5-19 14:08:22

哦，那我这里不会了，我只用那个打打补丁，扫描一下。规则我是经常备份。

显示全部楼层 · 发表于 2009-5-19 14:33:16

0.exe不是搜狗的升级升序吗

显示全部楼层 · 发表于 2009-5-19 14:41:02

那看来搜狗还真是越来越差了，，我用搜狗拼音输入法3.6正式版(3.6.0.1653）。看来这些东西还是刚出来的比较好了。

坚决不改了。那个是不是4.0后才增加的？

显示全部楼层 · 发表于 2009-5-19 14:41:39

这个不能判定一定是搜狗吧~
我也是3.6的
搜狗偶没给它规则，全局受限也能用

[ 本帖最后由 lorchid 于 2009-5-19 14:43 编辑 ]

显示全部楼层 · 发表于 2009-5-19 14:42:30

2楼贴出的日志十分可疑~

[求助] 我是不是中毒了，帮忙看下日志

本帖子中包含更多资源

回复 3楼 lorchid 的帖子

回复 4楼小静电的帖子

回复 7楼 wsmurderer 的帖子

本帖子中包含更多资源

浏览过的版块

[求助] 我是不是中毒了，帮忙看下日志

本帖子中包含更多资源

回复 3楼 lorchid 的帖子

回复 4楼 小静电 的帖子

回复 7楼 wsmurderer 的帖子

本帖子中包含更多资源

浏览过的版块

回复 4楼小静电的帖子