C:\WINNT\Temp下有一只褐色的小狗,它每次启动都改名的,但是不是病毒。
标题: 有关Officescan 客户端程序守护程序ofcdog.exe 被误认为病毒的说明
问题描述: 系统进程中发现类似 FK41B0.EXE ,HX2E11.EXE等进程在 $WINDIR$\TEMP 目录下,这些是否是病毒?
解决方案: OSCE 6.5为了防止恶意病毒关闭防毒进程,安装时默认启用防黑客模式。OFCDOG.EXE为客户机看守程序服务进程。当您启用防黑客模式后,该看守进程OSCE 客户端会复制OFCDOG.EXE 程序到系统temp 目录下并重命名为随机的6位字母文件名称后启动,保护OSCE 客户端程序正常运行。
OSCE 6.5 客户机看守程序服务进程实现以下功能
1、监控客户端的进程:NtRtScan.exe和TmListen.exe,并且当它们被恶意程序关闭的时候,重启进程。并且把相关事件写入事件日志并上传到服务端,时间日志将显示与控制台的系统事件日志页。
2、锁定所有客户端目录下的的 EXE和DLL文件,防止其他程序的更改和删除 。
3、复制自身进程,并随机命名,以防止该进程被删除起到看守作用。
注意:您可以通过客户机管理->全局客户机设置,选择是否设置启用防黑客模式,当您取消防黑客模式时 OFCDOG.exe将不会进行随机命名和复制到系统临时目录的动作。
