瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 求助
smj866 - 2010-3-5 21:21:00
瑞星日志中看到的
规则 ID:        70
防护类型:        试图改写目标程序内存
进程:            C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
操作数据:        C:\PROGRAM FILES\RISING\ANTISPYWARE\RSTRAY.EXE
请问这是病毒吗??应该怎么处理啊??
谢谢

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BLNGBAR; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Tablet PC 2.0)
DragonKid - 2010-3-5 21:31:00
这是瑞星监控到的对于一个系统进程和瑞星进程的内存的修改操作,已经被瑞星拦截。
建议楼主将瑞星升级后全盘查杀
德拉克拉 - 2010-3-5 21:37:00
看名字不是病毒,但是最好还是全盘杀毒吧、
迷失の坏坏 - 2010-3-5 22:00:00
描述:
wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。WMI 包括对象储备库和 CIM 对象管理器。对象管理器负责处理储备库中对象的收集和操作并从WMI provider (在WMI 和操作系统、应用程序以及其他系统的组件之间充当中介)收集信息。运行管理工具中的某个应用程序的时候,在系统进程管理中可以看到wmiprvse.exe进程。这个程序对你系统的正常运行是非常重要的。

所处位置:
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllcache\wmiprvse.exe
wmiprvse.exe 有可能会被病毒修改,如果发现不存在于上述目录中,则有可能是病毒文件。如:IRCBot蠕虫病毒,他运行之后会实现自身复制,并给系统开启后门。这种情况下,杀毒软件可以识别出来并查杀,无需过于担忧。
参考资料:http://baike.baidu.com/view/962488.htm?fr=ala0_1
随缘92WJC - 2010-3-5 22:15:00
楼主装了卡卡?
VISTA\WIN7系统装了卡卡确实会提示改写内存
C:\system32\wbem\wmiprvse.exe  如果提示的路径是这个,可以将他加入主动防御白名单
小棉花ZY - 2010-3-6 19:56:00
瑞星升级后全盘查杀。
smj866 - 2010-3-6 20:24:00
谢谢大家啊,不过瑞星没有查出病毒,我是win7的系统。
随缘92WJC - 2010-3-7 0:45:00
楼主看下我截图,日志中是这个路径下的wmiprvse.exe么,如果装了卡卡,并且日志中都是卡卡程序,属于正常现象
楼主不必担心,您可以将wmiprvse.exe添加到白名单
1
查看完整版本: 求助