查看: 4886|回复: 12
收起左侧

[讨论] 被~tmp.tmp写入windows目录

[复制链接]
nickck
发表于 2007-3-11 00:00:28 | 显示全部楼层 |阅读模式
打开一个网站,windows目录下写入了~tmp.tmp文件,以下是日志:

2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\drivers\etc\hosts 通用标准保护:保护网络设置  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp D:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe 通用标准保护:防止终止 McAfee 进程  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\services.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\lsass.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\svchost.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\ctfmon.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\mmc.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\cmd.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\conime.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:58 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\net.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:59 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp D:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe 通用标准保护:防止终止 McAfee 进程  
2007-3-10 22:09:59 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\services.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:59 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\lsass.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:09:59 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\svchost.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\ctfmon.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\mmc.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\cmd.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\conime.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:10:00 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\net.exe 用户定义的规则:禁止未授权的程序运行  
2007-3-10 22:10:01 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\WINDOWS\system32\drivers\etc\hosts 通用标准保护:保护网络设置  
2007-3-10 22:10:31 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp C:\_desktop.ini 用户定义的规则:禁止修改根目录  
2007-3-10 22:10:31 1092 SERVER\Administrator C:\WINDOWS\~tmp.tmp \REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters 通用最大保护:禁止将程序注册为服务

请问有没有必要加一条禁止写*tmp*.*的规则
idey
发表于 2007-3-11 00:09:34 | 显示全部楼层
楼主这个是不是病毒啊,还是流氓软件,反正不是正常程序,最好用杀毒的或者AVG扫一下它
小邪邪
发表于 2007-3-11 00:09:56 | 显示全部楼层
这个一看就是威金或熊猫烧香,最好不要禁止TMP文件


C:\WINDOWS\*.* (根目录)
操作:禁止创建
进程:所有(或者只禁止IE也可以)

**\SYSTEM32\*.* (根目录)
设置同上

Documents and Settings用户名下的根目录下,桌面文件夹里,TEMP目录里,PROGRAM目录都是可能的下载点

防网页恶意下载是咖啡最拿手的好戏,要完善好规则
而其实打好补丁才是根本

[ 本帖最后由 小邪邪 于 2007-3-11 00:16 编辑 ]
nickck
 楼主| 发表于 2007-3-11 00:16:36 | 显示全部楼层
进到安全模式用大蜘蛛绿色版扫描,没有发现病毒,最后手动删除了~tmp.tmp,看来还是要完善一下规则。
   谢谢楼上2位了!
thelord
发表于 2007-3-11 00:27:08 | 显示全部楼层
呵呵,充分说明了ie的不安全。
楼主应该用规则把windows给锁起来,顺便看看有没有什么可疑进程。如果有的话可能exe文件会被感染。
zea10t
发表于 2007-3-11 00:29:59 | 显示全部楼层
还是用Firefox安全一些。
nickck
 楼主| 发表于 2007-3-11 00:42:58 | 显示全部楼层
用过一段时间firefox,实在受不了它的速度,下定决心用A86规则,以前想偷懒,不想去一个个排除
小邪邪
发表于 2007-3-11 00:48:32 | 显示全部楼层
如果把IE打全补丁,及时堵上漏洞
就不用太费心这些被恶意网页自动下载,安装,运行病毒的事情了

不然就真的要搞好FD规则了,这次还好进来后有强规则阻止它的激活

试想如果没有强规则在那看着的话,后果不堪设想。。。
nickck
 楼主| 发表于 2007-3-11 00:54:41 | 显示全部楼层
的确是吓了一跳,幸好咖啡办事还是让人放心的,还有谢谢版主及各位朋友的帮助
sxingbai
发表于 2007-3-11 12:49:37 | 显示全部楼层
值得一顶
不过你怎么会让这个东东进入系统
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 03:39 , Processed in 0.130494 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表