一个怀疑中的毒网

子非哲

改用大众规则包后，刚才登陆那两个网站后，有几条规则一直在触犯，怀疑有问题

E:\Program Files\Maxthon\Maxthon.exe        C:\Documents and Settings\子非哲\Local Settings\T\Temporary Internet Files\Content.IE5\index.dat        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 写入
---------
E:\Program Files\Maxthon\Maxthon.exe        C:\Documents and Settings\子非哲\Application Data\Microsoft\IME\winabc\tmmr.rem        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 写入
---------
E:\Program Files\Maxthon\Maxthon.exe        C:\Documents and Settings\子非哲\Local Settings\Temporary Internet Files\Content.IE5\C56RW16J\ction%3Dedit%26fid%3D31%26tid%3D68267%26pid%3D769423%26page%3D1%26extra%3Dpage%253D1&cc=12&u_h=768&u_w=1024&u_ah=738&u_aw=1024&u_cd=32&u_tz=480&u_his=15&u_java=true        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2007-3-31        20:14:28        已由访问保护规则禁止         SHANGFZ\子非哲        E:\Program Files\Maxthon\Maxthon.exe        C:\Documents and Settings\子非哲\Local Settings\Temporary Internet Files\Content.IE5\C56RW16J\viewthread[1].php        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2007-3-31        20:14:28        已由访问保护规则禁止         SHANGFZ\子非哲        E:\Program Files\Maxthon\Maxthon.exe        E:\Program Files\Maxthon\Config\config.ini.tmp        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
2007-3-31        20:14:28        已由访问保护规则禁止         SHANGFZ\子非哲        E:\Program Files\Maxthon\Maxthon.exe        E:\Program Files\Maxthon\Config\SetupCenter.ini.tmp        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
---------------
E:\Program Files\Maxthon\Maxthon.exe        \REGISTRY\USER\S-1-5-21-861567501-1606980848-1957994488-1005\Software\Microsoft\Internet Explorer\TypedUrls\url6        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
------------
E:\Program Files\Maxthon\Maxthon.exe        E:\Program Files\Maxthon\Config\Dynamic.ini.tmp        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
---------------
E:\Program Files\Maxthon\Maxthon.exe        C:\Documents and Settings\子非哲\Cookies\子非哲@f.m6co[1].txt        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
----------

把COOKIES删除不知道有没有用

小邪邪

从上面的日志里没有发现什么恶意行为

那个老版的大众规则包稍为麻烦，提供的保护力也还不够强（中等而已）
换一个或者能自己根据需要写更好

这情况也可能是个BUG，我以前也遇见过一次类似情况，当时不知道是跟什么冲突了
而当时正好赶上8.0换8.5，也就没去多想，或许是有BUG

[ 本帖最后由 小邪邪 于 2007-3-31 20:29 编辑 ]

子非哲

现在特别是第一条记录，只要打开浏览器就一直在报，总感觉不是很正常

E:\Program Files\Maxthon\Maxthon.exe        C:\Documents and Settings\子非哲\Local Settings\T\Temporary Internet Files\Content.IE5\index.dat        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 写入

小邪邪

这个是正常的，可以排除，很多正常程序上网时都会读取，修改这个index.dat
Maxthon.exe看起来应该是一个可信任的进程，应该可以排除掉

这个http://f.m6co.com我也上去看了，只拦截了一个弹出窗口，还没发现其它行为

我以前任何补丁都没打时就曾上过无数极恶的毒网，经验还是有点的
既然我的咖啡监控都没反应，应该问题不会太大吧（不过也可能跟打好补丁有关，呵呵）

[ 本帖最后由 小邪邪 于 2007-3-31 20:42 编辑 ]

chou

試了一下 Dr.web online scan 沒偵測到病毒

http://online.drweb.com/result?url=http://f.m6co.com/

File size: 1783 bytes

f.m6co.com - archive HTML
>f.m6co.com/JavaScript.0 - OK
>f.m6co.com/JavaScript.1 - OK
f.m6co.com - OK

子非哲

的确有木马，我用AVG查了一遍COOKIES，查到一个。

那个综合防护规则太仔细了~~不知道用不用的着那么多，如果可以的话，我还是自己编写规则，多参考些综合包的，毕竟之前用自己的规则还是没什么问题的。刚才清理了COOKIES，还有，用了综合包，临时文件夹还用不用移回来啊？

小邪邪

COOKIES并不是木马，一般处不处理也无所谓，清理COOKIES要慎重
用咖啡要能自己写规则才是王道，这很好

子非哲

还有个问题，用了综合包，桌面上的快捷方式不能用了，停止了访问保护后才可以使用，这是哪条规则导致的？

关于保护C盘，可以这样写规则不：
比如禁止创建*.exe或*.dll等，但排除X:\Program Files\**(X是我装程序的盘)，这样就可以避免咖啡阻止现有程序对C盘文件的修改（比如浩方，QQ等）。但前提是病毒或木马主要是攻击C盘。不知道这样写安全与否

gggh

卡巴不报..

小邪邪

还有个问题，用了综合包，桌面上的快捷方式不能用了，停止了访问保护后才可以使用，这是哪条规则导致的？

估计是让AD规则给阻挡了，导致指向的程序无法启动，打开日志看一下排除一下就可以了

关于保护C盘，可以这样写规则不：
比如禁止创建*.exe或*.dll等，但排除X:\Program Files\**(X是我装程序的盘)，这样就可以避免咖啡阻止现有程序对C盘文件的修改（比如浩方，QQ等）。但前提是病毒或木马主要是攻击C盘。不知道这样写安全与否

可以了，可以参考一下那个综合包然后自己根据实际需要写保护规则
只要写好了规则，即使把病毒库完全扔掉也能够防住绝大部分的未知威胁
这点很重要，相信你已经有足够的能力可以自己搞好这些规则了，呵呵