忽然感覺系統慢了抓包一看

winlogon.exe是系統進程啊
; w7 \; K* g' f7 ^$ K" g' i不是病毒

原帖由 努力努力再努力 於 2007-6-4 11:57 發表
winlogon.exe是系統進程啊
# F9 N9 T' w( D: A* f( M不是病毒

% S: D' D. S2 j+ e
  B$ @" q7 T9 d# t6 d9 T& @1 H遠程IP端口:221.200.60.58:8000

而且還隱藏打開這個網址 肯定是感染木馬之類的了。
$ m" C, _9 b$ v7 j5 W. F. R- U而且抓包一看總是隱藏打開這個網址 「hawkwl.go.3322.org」

什麼抓包軟件啊這麼好用，發一個上來大家一起用啊！

您查詢的IP:221.200.60.58
+ F: @: J/ b7 L) d0 ~( s7 ]本站主數據：遼寧省瀋陽市 網通
查詢結果2：遼寧省瀋陽市 網通
) z, Y% L" [9 k  s7 L查詢結果3：遼寧省瀋陽市 網通ADSL
- {6 q+ x: ^, U% s. c- g" m
0 m$ o* r8 |( A8 }找下插入進程類木馬清除方法................

: 蛋蛋這麼不小心啊```木馬應該是注入了Winlogon進程```可能是守望者吧```不要強行結束Winlogon.exe哦，好像會藍屏的。用冰刃讀取Winlogon的模塊信息，看看有沒可疑的DLL卸載掉，不行重裝得了:

ok 我再試試 今天兩瓶啤酒 我又扶牆回來的 不知道什麼時候才能逾越兩瓶啤酒的瓶頸

  Q/ }* f1 s; D9 \5 [+ o3 tnnd

貌似高手不少
' v" L2 f: E7 [, ~. @! t1 m6 p要找原因,99.9%中了

開機以後，連網以前，用netstat -an命令看下系統開放著的端口，有點用吧。

今天迷迷糊糊的繼續殺馬！～
+ p) C6 v; Z) u& N
( x+ U% y9 f' q, V我參考了網上的一篇文章 下載了一個Syscheck2的進程管理
9 H: f! \* E: a' v第一步
結速這個進程 smss
0 T# E: ]' T: k第二步
然後點擊winlogon 看到有一個dente.dll的危險dll文件 遂刪除。  然後就以為ok了 因為抓包已經抓不到自己隱藏打開那個網址了。（已經證實那個網址是自動上線的動態毒命）高興、激動。但是重啟已經不能重啟了，不知道是不是結束了進程鬧得。強制關機。在開，nnd  又出來了！崩潰～
$ ~8 g; G7 K+ n1 }+ {) v繼續重複以上的步驟。準備開機再試！然後故作聰明的從虛擬機複製出了一個winlogon .exe 的文件放在本機的系統文件裡面。藍屏 系統進不去了！  遂。。重新恢復的以前的系統。早知道早晚要恢復就不費這個勁了！
8 w3 t& K$ h# J9 c* G! _* }! E總結完畢 ^_^

! y6 H" F1 J# Aps：佩服守望者 這個挺強的「加強的進程守護;包含文件的守護;刪除文件的方式將無法刪除守望;非法卸載成為歷史」

感染在其他盤，寄生在其他文件裡面，很複雜，整機反覆殺，效果也不是很好，我一般就是重裝，整機格盤。要不然毒還藏在其他盤裡，開機又有毒。