忽然感覺系統慢了抓包一看

winlogon.exe是系統進程啊
不是病毒

原帖由 努力努力再努力 於 2007-6-4 11:57 發表
winlogon.exe是系統進程啊
* |1 y- `, y5 j' G  ^1 B不是病毒

4 u. L& D. k, Q6 }
遠程IP端口:221.200.60.58:8000

而且還隱藏打開這個網址 肯定是感染木馬之類的了。
而且抓包一看總是隱藏打開這個網址 「hawkwl.go.3322.org」

什麼抓包軟件啊這麼好用，發一個上來大家一起用啊！

您查詢的IP:221.200.60.58
# B: M, \* K( `, Q' K7 x0 F5 }7 e本站主數據：遼寧省瀋陽市 網通
查詢結果2：遼寧省瀋陽市 網通
查詢結果3：遼寧省瀋陽市 網通ADSL
0 x7 n6 A. t. ^; o# y
找下插入進程類木馬清除方法................

: 蛋蛋這麼不小心啊```木馬應該是注入了Winlogon進程```可能是守望者吧```不要強行結束Winlogon.exe哦，好像會藍屏的。用冰刃讀取Winlogon的模塊信息，看看有沒可疑的DLL卸載掉，不行重裝得了:

ok 我再試試 今天兩瓶啤酒 我又扶牆回來的 不知道什麼時候才能逾越兩瓶啤酒的瓶頸

nnd

貌似高手不少
6 j- T, k% a6 U2 o; W. c8 E要找原因,99.9%中了

開機以後，連網以前，用netstat -an命令看下系統開放著的端口，有點用吧。

今天迷迷糊糊的繼續殺馬！～

. Y  l) v: s' k1 c' H& W我參考了網上的一篇文章 下載了一個Syscheck2的進程管理
第一步
結速這個進程 smss
% X+ `9 p, q( z1 h/ Z! C第二步
然後點擊winlogon 看到有一個dente.dll的危險dll文件 遂刪除。  然後就以為ok了 因為抓包已經抓不到自己隱藏打開那個網址了。（已經證實那個網址是自動上線的動態毒命）高興、激動。但是重啟已經不能重啟了，不知道是不是結束了進程鬧得。強制關機。在開，nnd  又出來了！崩潰～
繼續重複以上的步驟。準備開機再試！然後故作聰明的從虛擬機複製出了一個winlogon .exe 的文件放在本機的系統文件裡面。藍屏 系統進不去了！  遂。。重新恢復的以前的系統。早知道早晚要恢復就不費這個勁了！
  J1 V- Y4 r! w# X. H( M) u總結完畢 ^_^

( {! N5 Y0 _% B. n) l! Mps：佩服守望者 這個挺強的「加強的進程守護;包含文件的守護;刪除文件的方式將無法刪除守望;非法卸載成為歷史」

感染在其他盤，寄生在其他文件裡面，很複雜，整機反覆殺，效果也不是很好，我一般就是重裝，整機格盤。要不然毒還藏在其他盤裡，開機又有毒。