被~tmp.tmp写入windows目录

显示全部楼层 · 发表于 2007-3-11 00:00:28

打开一个网站，windows目录下写入了~tmp.tmp文件，以下是日志：

2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\drivers\etc\hosts 通用标准保护:保护网络设置
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp D:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe 通用标准保护:防止终止 McAfee 进程
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\services.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\lsass.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\svchost.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\ctfmon.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\mmc.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\cmd.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\conime.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\net.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:59 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp D:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe 通用标准保护:防止终止 McAfee 进程
2007-3-10 22:09:59 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\services.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:59 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\lsass.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:09:59 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\svchost.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\ctfmon.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\mmc.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\cmd.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\conime.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\net.exe 用户定义的规则:禁止未授权的程序运行
2007-3-10 22:10:01 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\drivers\etc\hosts 通用标准保护:保护网络设置
2007-3-10 22:10:31 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\_desktop.ini 用户定义的规则:禁止修改根目录
2007-3-10 22:10:31 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp \REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters 通用最大保护:禁止将程序注册为服务

请问有没有必要加一条禁止写*tmp*.*的规则

显示全部楼层 · 发表于 2007-3-11 00:09:34

楼主这个是不是病毒啊，还是流氓软件，反正不是正常程序，最好用杀毒的或者AVG扫一下它

显示全部楼层 · 发表于 2007-3-11 00:09:56

这个一看就是威金或熊猫烧香，最好不要禁止TMP文件

C:\WINDOWS\*.* （根目录）
操作：禁止创建
进程：所有（或者只禁止IE也可以）

**\SYSTEM32\*.* （根目录）
设置同上

Documents and Settings用户名下的根目录下，桌面文件夹里，TEMP目录里，PROGRAM目录都是可能的下载点

防网页恶意下载是咖啡最拿手的好戏，要完善好规则
而其实打好补丁才是根本

[ 本帖最后由小邪邪于 2007-3-11 00:16 编辑 ]

显示全部楼层 · 发表于 2007-3-11 00:16:36

进到安全模式用大蜘蛛绿色版扫描，没有发现病毒，最后手动删除了~tmp.tmp，看来还是要完善一下规则。
谢谢楼上2位了！

显示全部楼层 · 发表于 2007-3-11 00:27:08

呵呵，充分说明了ie的不安全。
楼主应该用规则把windows给锁起来，顺便看看有没有什么可疑进程。如果有的话可能exe文件会被感染。

显示全部楼层 · 发表于 2007-3-11 00:29:59

还是用Firefox安全一些。

显示全部楼层 · 发表于 2007-3-11 00:42:58

用过一段时间firefox,实在受不了它的速度，下定决心用A86规则，以前想偷懒，不想去一个个排除

显示全部楼层 · 发表于 2007-3-11 00:48:32

如果把IE打全补丁，及时堵上漏洞
就不用太费心这些被恶意网页自动下载，安装，运行病毒的事情了

不然就真的要搞好FD规则了，这次还好进来后有强规则阻止它的激活

试想如果没有强规则在那看着的话，后果不堪设想。。。

显示全部楼层 · 发表于 2007-3-11 00:54:41

的确是吓了一跳，幸好咖啡办事还是让人放心的，还有谢谢版主及各位朋友的帮助

显示全部楼层 · 发表于 2007-3-11 12:49:37

值得一顶
不过你怎么会让这个东东进入系统

[讨论] 被~tmp.tmp写入windows目录