瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 学习使用SRE,麻烦帮我看下我的启动项,

1   1  /  1  页   跳转

学习使用SRE,麻烦帮我看下我的启动项,

收藏
blender
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-05 13:51 | 只看楼主 短消息 资料
字号: 1楼

学习使用SRE,麻烦帮我看下我的启动项,

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SKYNET Personal FireWall><C:\Program Files\SkyNet\FireWall\pfw.exe>  [广州众达天网技术有限公司]
    <kis><"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe">  [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
    <WinlogonNotify: klogon><C:\WINDOWS\system32\klogon.dll>  [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
    <IE7 Uninstall Stub><C:\WINDOWS\system32\ieudinit.exe>  [(Verified)Microsoft Windows]
上面红色部分为什么SRE说是高危险呢..?
点击看到的是 第一个是(verified)windows component
第二个是卡巴斯基的什么 没看懂...
PS:说明一下 我用的杀毒软件是卡巴斯基6.0套装
初次来论坛,第一次使用SRE 向各位高手前辈请教..
最后编辑2007-04-05 15:08:05
分享到:
gototop
 
blender
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-05 13:58 | 只看楼主 短消息 资料
字号: 2楼

学习使用SRE中.
可能还有危险的地方没看懂,希望高手指点
gototop
 
kuangxia
头像
初生襁褓狮
  • 帖子:201
  • 注册: 2005-12-17
  • 来自:
发表于: 2007-04-05 14:05 | 短消息 资料
字号: 3楼

中了**插件。
gototop
 
blender
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-05 14:52 | 只看楼主 短消息 资料
字号: 4楼

API HOOK
RVA  错误: LoadLibraryA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xF474AB25)
RVA  错误: LoadLibraryExA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xF474AD67)
RVA  错误: LoadLibraryExW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xF474AF0B)
RVA  错误: LoadLibraryW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xF474AC49)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xF474AE8F)
危险高...这个是什么?
怎么处理?
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2007-04-05 14:56 | 短消息 资料
字号: 5楼

有颜色并不代表有问题
gototop
 
姑苏残月
头像
叱咤花甲狮
  • 帖子:2464
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-04-05 14:59 | 短消息 资料
字号: 6楼

引用:
【水树雨下的贴子】有颜色并不代表有问题
………………

鄙视水树的同时,同意下他的意见
gototop
 
blender
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-05 15:01 | 只看楼主 短消息 资料
字号: 7楼

API HOOK
RVA 错误: LoadLibraryA (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AB25)
RVA 错误: LoadLibraryExA (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AD67)
RVA 错误: LoadLibraryExW (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AF0B)
RVA 错误: LoadLibraryW (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AC49)
RVA 错误: GetProcAddress (危险等级: 高, 被下面模块所HOOK: Dest Addr: 0xF474AE8F)
API HOOK怎么理解呢?
这个不是很明白.Dest Addr地址代表什么?
刚来这里 请指教
gototop
 
姑苏残月
头像
叱咤花甲狮
  • 帖子:2464
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-04-05 15:03 | 短消息 资料
字号: 8楼

这几个需要上SRENG官网查看说明.一般是说你安装的是什么杀毒软件的
gototop
 
blender
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-05 15:05 | 只看楼主 短消息 资料
字号: 9楼

引用:
【姑苏残月的贴子】这几个需要上SRENG官网查看说明.一般是说你安装的是什么杀毒软件的
………………

明白 我去查查看
谢谢.
gototop
 
blender
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-05 15:17 | 只看楼主 短消息 资料
字号: 10楼

在帮助里把答案找到了

注意事项:

一些正常的安全软件也会对一些API进行HOOK操作以实现安全监控功能。这类软件一般都会有明确的标示信息,例如拥有自己的数字签名或文件是存在在厂商自己的软件安装目录之下。

对于使用驱动程序进行 HOOK 的软件,例如 Kaspersky Antivirus 6.X,受制于操作系统的权限控制限制,System Repair Engineer (SREng)无法获得具体的文件路径,而只能显示HOOK指向的目标地址。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT