微点交流论坛

标题: 被篡改了时间,并修改了权限 [打印本页]

作者: 1092407 时间: 2010-5-16 22:17 标题: 被篡改了时间,并修改了权限

我用的windows7,前几天下一个小东西,图标是压缩包,但实际是可执行文件,双击安装后,替换掉我桌面ie及firefox图标,并生成了一个淘宝的图标,删掉后,双击任何一个浏览器图标都会生成淘宝的图标.后来发现系统时间被篡改了,修改提示无法保存.这些过程主动防御没有提示,而且我在没开任何软件的情况下发现有一印度的ip与我pc连接.这是我安装微点以来唯一一次中标已经生成了技术文件,请问发送到哪里?

查看了一下组,发现用户在管理员组里面,但很多特权被改了
组信息
-----------------

组名                               类型 SID                                           属性

==================================== ====== ============================================== =============================
=============
Everyone                            已知组 S-1-1-0                                     必需的组, 启用于默认, 启用的
组
IEF_PC\HomeUsers                   别名 S-1-5-21-2975679468-3407167049-2233676391-1000 必需的组, 启用于默认, 启用的
组
IEF_PC\ora_dba                      别名 S-1-5-21-2975679468-3407167049-2233676391-1003 必需的组, 启用于默认, 启用的
组
BUILTIN\Administrators             别名 S-1-5-32-544                                  必需的组, 启用于默认, 启用的
组, 组的所有者
BUILTIN\Users                      别名 S-1-5-32-545                                  必需的组, 启用于默认, 启用的
组
NT AUTHORITY\INTERACTIVE          已知组 S-1-5-4                                     必需的组, 启用于默认, 启用的
组
控制台登录                         已知组 S-1-2-1                                     必需的组, 启用于默认, 启用的
组
NT AUTHORITY\Authenticated Users    已知组 S-1-5-11                                     必需的组, 启用于默认, 启用的
组
NT AUTHORITY\This Organization    已知组 S-1-5-15                                     必需的组, 启用于默认, 启用的
组
LOCAL                               已知组 S-1-2-0                                     必需的组, 启用于默认, 启用的
组
NT AUTHORITY\NTLM Authentication    已知组 S-1-5-64-10                                  必需的组, 启用于默认, 启用的
组
Mandatory Label\High Mandatory Level 标签 S-1-16-12288                                  必需的组, 启用于默认, 启用的
组

特权信息
----------------------

特权名                         描述                      状态
=============================== ========================== ======
SeIncreaseQuotaPrivilege       为进程调整内存配额       已禁用
SeSecurityPrivilege          管理审核和安全日志       已禁用
SeTakeOwnershipPrivilege       取得文件或其他对象的所有权已禁用
SeLoadDriverPrivilege          加载和卸载设备驱动程序    已禁用
SeSystemProfilePrivilege       配置文件系统性能          已禁用
SeSystemtimePrivilege          更改系统时间             已禁用
SeProfileSingleProcessPrivilege 配置文件单个进程          已禁用
SeIncreaseBasePriorityPrivilege 提高计划优先级          已禁用
SeCreatePagefilePrivilege    创建一个页面文件          已禁用
SeBackupPrivilege             备份文件和目录          已禁用
SeRestorePrivilege             还原文件和目录          已禁用
SeShutdownPrivilege          关闭系统                已禁用
SeDebugPrivilege             调试程序                已禁用
SeSystemEnvironmentPrivilege 修改固件环境值          已禁用
SeChangeNotifyPrivilege       绕过遍历检查             已启用
SeRemoteShutdownPrivilege    从远程系统强制关机       已禁用
SeUndockPrivilege             从扩展坞上取下计算机    已禁用
SeManageVolumePrivilege       执行卷维护任务          已禁用
SeImpersonatePrivilege       身份验证后模拟客户端    已启用
SeCreateGlobalPrivilege       创建全局对象             已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集          已禁用
SeTimeZonePrivilege          更改时区                已禁用
SeCreateSymbolicLinkPrivilege 创建符号链接             已禁用

作者: Legend 时间: 2010-5-16 22:27
感谢楼主反馈，请楼主把相关文件和微点技术支持信息一起发送到 support@micropoint.com.cn 来信附带本帖链接，我们具体分析一下
或者与微点QQ在线客服 466248167 或 383154254 联系

作者: tclin 时间: 2010-5-17 14:41
嗯，这次微点碰到对手了

作者: Legend 时间: 2010-5-19 13:10
楼主您好！建议楼主联系微点在线管理员QQ；466248167或383154254,由他们协助您处理，谢谢！

作者: 陆游人 时间: 2010-5-19 20:13
我也出现过这个情况，不过时间没被篡改，微点主防也没报告，开启金山卫士扫出好几个木马，还好我当时在影子系统模式下重启系统还原了，

作者: Legend 时间: 2010-5-25 13:02
由于未收到楼主的进一步反馈，此主题暂做关闭处理，如有其它问题请另开新帖讨论。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn