火绒安全软件

标题: 频繁远程WMI调用，还有远程服务创建，怎么处理 [打印本页]

作者: xiyulg 时间: 2021-11-1 14:02
标题: 频繁远程WMI调用，还有远程服务创建，怎么处理
【1】2021-11-01 13:53:00,病毒防护,病毒查杀,全盘扫描, 发现0个风险项目

病毒库时间：2021-10-31 16:02
开始时间：2021-11-01 08:01
总计用时：00:06:19
扫描对象：261671
扫描文件：248701
发现风险：0
已处理风险：0

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2021-11-01 13:47:58,其他,组件安装,HRSword安装成功

HRSword安装成功
下载文件：
2021-11-01 13:47:56 C:\Program Files (x86)\Huorong\Sysdiag\bin\daemon.dll
2021-11-01 13:47:57 C:\Program Files (x86)\Huorong\Sysdiag\bin\HRSword.exe

更新文件：
2021-11-01 13:47:57 C:\Program Files (x86)\Huorong\Sysdiag\bin\daemon.dll
2021-11-01 13:47:57 C:\Program Files (x86)\Huorong\Sysdiag\bin\HRSword.exe

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2021-11-01 13:03:59,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:1649
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2021-11-01 13:03:59,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:1691
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2021-11-01 08:27:18,网络防护,横向渗透防护,受到23.94.7.193的远程WMI调用，已阻止

远程地址：23.94.7.193:4132
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2021-11-01 08:27:17,网络防护,横向渗透防护,受到23.94.7.193的远程WMI调用，已阻止

远程地址：23.94.7.193:4131
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2021-11-01 02:22:42,网络防护,横向渗透防护,受到47.103.157.48的远程WMI调用，已阻止

远程地址：47.103.157.48:53215
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2021-10-31 21:12:34,网络防护,横向渗透防护,受到23.94.7.193的远程WMI调用，已阻止

远程地址：23.94.7.193:1886
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2021-10-31 21:12:32,网络防护,横向渗透防护,受到23.94.7.193的远程WMI调用，已阻止

远程地址：23.94.7.193:1885
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2021-10-31 18:13:57,其他,升级日志,自动更新成功，版本号：5.0.64.2

升级方式：自动更新
升级结果：成功，版本号：5.0.64.2
下载文件：
2021-10-31 18:13:57 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2021-10-31 18:13:57 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

更新文件：
2021-10-31 18:13:57 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2021-10-31 18:13:57 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【11】2021-10-31 13:35:59,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:3657
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【12】2021-10-31 13:35:59,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:3699
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【13】2021-10-30 18:04:15,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:2065
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【14】2021-10-30 18:04:15,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:2199
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【15】2021-10-30 17:34:51,网络防护,横向渗透防护,受到1.196.134.68的远程服务创建，已阻止

远程地址：1.196.134.68:23403
本地地址：192.168.110.254:445
防护项目：远程服务创建
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【16】2021-10-30 17:34:46,网络防护,横向渗透防护,受到1.196.134.68的远程服务创建，已阻止

远程地址：1.196.134.68:22798
本地地址：192.168.110.254:445
防护项目：远程服务创建
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【17】2021-10-30 17:13:57,其他,升级日志,自动更新成功，版本号：5.0.64.2

升级方式：自动更新
升级结果：成功，版本号：5.0.64.2
下载文件：
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\db\wlst.db

更新文件：
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2021-10-30 17:13:57 C:\ProgramData\Huorong\Sysdiag\db\wlst.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【18】2021-10-30 15:30:24,网络防护,横向渗透防护,受到1.196.134.68的远程服务创建，已阻止

远程地址：1.196.134.68:22203
本地地址：192.168.110.254:445
防护项目：远程服务创建
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【19】2021-10-30 15:29:35,网络防护,横向渗透防护,受到1.196.134.68的远程服务创建，已阻止

远程地址：1.196.134.68:23005
本地地址：192.168.110.254:445
防护项目：远程服务创建
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【20】2021-10-30 15:05:47,网络防护,横向渗透防护,受到1.196.134.68的远程服务创建，已阻止

远程地址：1.196.134.68:21805
本地地址：192.168.110.254:445
防护项目：远程服务创建
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【21】2021-10-30 15:00:20,网络防护,横向渗透防护,受到1.196.134.68的远程服务创建，已阻止

远程地址：1.196.134.68:23124
本地地址：192.168.110.254:445
防护项目：远程服务创建
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【22】2021-10-30 13:46:38,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:4140
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【23】2021-10-30 13:46:38,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:4612
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【24】2021-10-30 13:40:49,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:1349
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【25】2021-10-30 13:27:15,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:4895
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【26】2021-10-30 13:00:50,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:3028
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【27】2021-10-30 12:55:59,网络防护,横向渗透防护,受到1.196.134.68的远程服务创建，已阻止

远程地址：1.196.134.68:22949
本地地址：192.168.110.254:445
防护项目：远程服务创建
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【28】2021-10-30 12:55:45,网络防护,横向渗透防护,受到1.196.134.68的远程服务创建，已阻止

远程地址：1.196.134.68:23045
本地地址：192.168.110.254:445
防护项目：远程服务创建
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【29】2021-10-30 12:54:49,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:3069
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【30】2021-10-30 12:36:17,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:4821
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【31】2021-10-30 12:27:36,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:2315
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【32】2021-10-30 12:26:23,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:4169
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【33】2021-10-30 12:15:54,网络防护,横向渗透防护,受到43.248.98.16的远程WMI调用，已阻止

远程地址：43.248.98.16:1148
本地地址：192.168.110.254:135
防护项目：远程WMI调用
CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
处理结果：已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

作者: 火绒运营专员 时间: 2021-11-1 14:10
您好，您这边方便留下QQ吗，我们这边帮您看一下

作者: xiyulg 时间: 2021-11-1 14:33

火绒运营专员发表于 2021-11-1 14:10
您好，您这边方便留下QQ吗，我们这边帮您看一下

676547550，验证问题可以随便填写

作者: 火绒运营专员 时间: 2021-11-1 14:35

xiyulg 发表于 2021-11-1 14:33
676547550，验证问题可以随便填写

您好，已经添加了，您这边通过下

作者: 火绒运营专员 时间: 2021-11-8 10:07
您好，您的问题已经帮您解决了~

作者: 190911085 时间: 2021-12-23 03:05
我也是这个问题，能帮我弄一下吗190911085

作者: 火绒运营专员 时间: 2021-12-23 09:59
您好，麻烦您在远程地址上安装火绒全盘查杀看下~

作者: 190911085 时间: 2021-12-23 11:19
查过了没有病毒

作者: 火绒运营专员 时间: 2021-12-23 11:26
您好，您可以把远程ip加入了黑名单，不会在一直提示您了，操作步骤：防护中心-高级防护-IP黑名单-添加规则

作者: 190911085 时间: 2021-12-23 11:26
是要禁止远程服务吗

作者: 火绒运营专员 时间: 2021-12-23 11:33

190911085 发表于 2021-12-23 11:26
是要禁止远程服务吗

将此IP加入黑名单可阻止此IP的远程访问，即无法再对本地进行远程WMI调用，感谢您的反馈

作者: 190911085 时间: 2021-12-23 11:46
好的谢谢

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)