火绒安全软件

登录| 注册
火绒安全软件»论坛 火绒官方服务 动态防御问题反馈 有个功能我认为非常重要,希望采纳
动态防御问题反馈
发新帖
打印 上一主题 下一主题

有个功能我认为非常重要,希望采纳

[复制链接]
12048 15
楼主
发表于 2016-10-31 18:22:42 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
行为监视功能,我的电脑经常出现截屏图片,每次打开软键盘输入密码,密保卡等,就会被不良程序截图,密保卡被盗游戏帐号因刷色情广告被封,任何软件也查不出来。网站能找到的所有软件都在安全模式全盘查杀了,耗时7天多截屏图片被保存路径:

%USERPROFILE%\AppData\Local\Temp


到底是谁在拼命的截我的图发送给盗号者呢?QQ也被盗很多次,截屏图片高达数十张
我认为如果有行为监视功能就能查出这个病毒,
比如xxxx年xx月xx日
某某程序在xx:xx:xx秒创建了某某文件,
某某程序在xx:xx:xx秒读取了某某文件,
某某程序在xx:xx:xx秒修改了某某文件。
用户可以选择监视方式,监视的文件类型,监视文件夹路径等

系统日志.zip (84.25 KB, 下载次数: 4)


回复

使用道具 举报

12048 15
沙发
发表于 2016-10-31 18:25:54 | 只看该作者
本帖最后由 火۬绒 于 2016-10-31 19:16 编辑

系统日志懂的高手帮忙看下有没有什么问题,比如隐藏用户账户什么的
以前XP系统,日志里面有次SYSTEM登录成功,让我郁闷了下。就两个登录信息

现在系统重装了,百度贴吧也经常被盗发色情贴,这个后来我干脆没管它了,因为修改密码十几次都在几天后被盗

回复

使用道具 举报

Jie
12048 15
板凳
发表于 2016-10-31 18:47:03 | 只看该作者
这个意见我们收下了~看看产品上能不能解决,不过貌似这样监控十分耗费电脑资源

有哪位大神来帮着解决下呗
回复

使用道具 举报

12048 15
地板
发表于 2016-10-31 18:59:51 | 只看该作者
只监视一个路径的单一类型消耗不知道会怎样,
默认可以这个功能关闭,扫描监控状态下如果发现这个文件夹出现了这类文件,就会被记录并且可以选择报警提示

网站找了个网络反侦查工具NetCease
https://gallery.technet.microsof ... ocking-Net-1e8dcb5b
回复

使用道具 举报

12048 15
5#
发表于 2016-10-31 23:29:52 | 只看该作者
火۬绒 发表于 2016-10-31 18:59
只监视一个路径的单一类型消耗不知道会怎样,
默认可以这个功能关闭,扫描监控状态下如果发现这个文件夹出 ...

用户 火绒的自定义规则看看,谁生成的那些截图文件。
回复

使用道具 举报

12048 15
6#
发表于 2016-11-1 14:40:10 | 只看该作者

.

本帖最后由 火۬绒 于 2016-11-1 14:47 编辑

4.0版本管理员帮忙把那规则优化下,那个地方差点没找到。或需要监视没有文件后缀的类型加制定类型.
临时文件夹可能因为其他程序使用每天产生成千上万的文件,希望监视的文件可以分类,这样容易定位,
还有就是很可能是Temp文件夹里面的某个dll进行的,而dll又不知道谁提前释放的或根本就没有类型,
以前发现过杀毒软件查杀一个没有文件类型的文件,还有就是这类文件杀不了***.tmp
回复

使用道具 举报

12048 15
7#
发表于 2016-11-1 15:02:29 来自手机 | 只看该作者
截屏有的时候是正常软件的功能,还有可能是盗号木马,还有可能是被入侵。楼主看看截图都是什么内容,看是什么软件触发,打开进程管理,启动那些软件看有什么可疑进程,锁定位置。
回复

使用道具 举报

12048 15
8#
发表于 2016-11-2 09:49:49 | 只看该作者
管理员大大说啦 在%USERPROFILE%\AppData\Local\Temp做个生成图片文件的监控规则

因为%USERPROFILE%\AppData\Local\Temp\*.jpeg这样的是暂时不生效的所以我就暂时不提供了 要准确目录才生效
具体就模仿这个C:\Users\Administrator\AppData\Local\Temp\*.jpeg写 后戳一个个改下添加 创建 写入 询问
回复

使用道具 举报

12048 15
9#
发表于 2016-11-2 10:27:55 | 只看该作者
日志:平时没什么事,打开游戏,在输入密码时候被截图(软键盘),密保卡图片窗口也被截图,其他操作有窗口的会重新截图(包括全屏),
QQ输入密码,打开软键盘也会被截图,键盘输入不会,但是键盘输入容易被盗,最快一次的记录是键盘输入密码20分钟后被盗,
其他游戏,有密保卡的5个小号也全部被盗,现在已经彻底删除角色了,那时候是svchost.exe 和explorer.exe占用CPU100%

【1】2016-11-02 09:56:22,系统防御,自定义防护,dllhost.exe触犯自定义文件防护规则, 已阻止

操作者:C:\Windows\System32\dllhost.exe
命令行:C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
触犯规则:Group1
操作类型:读取
操作文件:J:\temp\13e455d9f347078f9ad7a5c93564a377_QQ.bmp
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-11-02 09:56:04,系统防御,自定义防护,explorer.exe触犯自定义文件防护规则, 已阻止

操作者:C:\Windows\explorer.exe
命令行:C:\Windows\Explorer.EXE
触犯规则:Group1
操作类型:读取
操作文件:J:\temp\13e455d9f347078f9ad7a5c93564a377_QQ.bmp
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-11-02 09:55:58,系统防御,自定义防护,explorer.exe触犯自定义文件防护规则, 已阻止

操作者:C:\Windows\explorer.exe
命令行:C:\Windows\Explorer.EXE
触犯规则:Group1
操作类型:读取
操作文件:J:\temp\13e455d9f347078f9ad7a5c93564a377_QQ.bmp
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-11-02 09:55:35,系统防御,自定义防护,explorer.exe触犯自定义文件防护规则, 已阻止

操作者:C:\Windows\explorer.exe
命令行:C:\Windows\Explorer.EXE
触犯规则:Group1
操作类型:读取
操作文件:J:\temp\13e455d9f347078f9ad7a5c93564a377_QQ.bmp
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-11-02 09:55:34,系统防御,自定义防护,explorer.exe触犯自定义文件防护规则, 已阻止

操作者:C:\Windows\explorer.exe
命令行:C:\Windows\Explorer.EXE
触犯规则:Group1
操作类型:读取
操作文件:J:\temp\13e455d9f347078f9ad7a5c93564a377_QQ.bmp
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2016-11-02 09:55:28,系统防御,自定义防护,explorer.exe触犯自定义文件防护规则, 已阻止

操作者:C:\Windows\explorer.exe
命令行:C:\Windows\Explorer.EXE
触犯规则:Group1
操作类型:读取
操作文件:J:\temp\13e455d9f347078f9ad7a5c93564a377_QQ.bmp
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2016-11-02 09:55:25,系统防御,自定义防护,explorer.exe触犯自定义文件防护规则, 已阻止

操作者:C:\Windows\explorer.exe
命令行:C:\Windows\Explorer.EXE
触犯规则:Group1
操作类型:读取
操作文件:J:\temp\13e455d9f347078f9ad7a5c93564a377_QQ.bmp
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


回复

使用道具 举报

12048 15
10#
发表于 2016-11-2 11:09:51 | 只看该作者
本帖最后由 仁二 于 2016-11-2 11:16 编辑

dllhost.exe是管理员进程
explorer.exe是正常打开文件夹窗口进程 以及桌面会用到的进程

这2个读取是可以允许的 完全没事的
还有那个……密保被截图发送走这个可能有问题 软键盘截图基本就没啥用了吧……

回复

使用道具 举报

12048 15
11#
发表于 2016-11-2 11:19:24 | 只看该作者
用外挂被盗 用火绒都保不了你 人家盗号的不一定是软件呀 而且现在很多游戏都有安全中心这样的APP防止盗号的……
一般是web远控你 T你下线 收到你登录的相关信息 重复操作你号就886
回复

使用道具 举报

12048 15
12#
发表于 2016-11-2 12:35:38 | 只看该作者
Explorer.EXE一般有两个,有时候其中一个100%,有一个的时候不消耗资源,最多时候7个,svchost.exe最多时候20多个
回复

使用道具 举报

12048 15
13#
发表于 2016-11-2 18:24:26 | 只看该作者
楼主可以排查一下联网的程序,确定电脑上是否有木马程序:
然后分析一下(被阻止联网的程序)的安全性——可以把日志发上来
回复

使用道具 举报

12048 15
14#
发表于 2016-11-4 12:13:29 | 只看该作者
火۬绒 发表于 2016-11-2 12:35
Explorer.EXE一般有两个,有时候其中一个100%,有一个的时候不消耗资源,最多时候7个,svchost.exe最多时候 ...

.....explorer.exe?如果在遇到这种情况 求截图……还有尝试结束进程 看看是打开那个(我的电脑)文件夹 导致的 然后欢迎继续反馈 这个的确有可能……
svchost.exe我这边只有15个 可以任务管理器都跟进一下 看看有没不要的服务 就关闭禁用 优化一下……
这样
回复

使用道具 举报

12048 15
15#
发表于 2016-11-10 17:59:54 | 只看该作者
感觉好强大的功能
回复

使用道具 举报

下一页 »
12下一页
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

版权所有©2011-2024北京火绒网络科技有限公司 All Rights Reserved

官方网站 | 加入我们 | 站点统计

快速回复 返回顶部 返回列表