蛋蛋的蛋 发表于 2007-6-4 01:50:02

忽然感觉系统慢了抓包一看

hawkwl.go.3322.org
总是打开这个页子?
请问到底是怎么了?没干别的啊!

不知论者 发表于 2007-6-4 03:29:06

动态毒命,看看是不是中了鸽子,在自动上线..

蛋蛋的蛋 发表于 2007-6-4 03:33:13

瑞星、nod32 跟傻子似的

肯定是木马了把

蛋蛋的蛋 发表于 2007-6-4 03:48:00

名称:winlogon.exe
TCP/UDP:TCP
安全级别: 安全
本机IP端口:121.116.17.48:1657
远程IP端口:221.200.60.58:8000
状态:同步发送
PID:1020
路径:\??\C:\windows\system32\winlogon.exe
详细信息:
:mad:中了

445566 发表于 2007-6-4 06:43:59

绝对的类灰鸽子木马

iamphp 发表于 2007-6-4 07:57:43

对付这个好像360比较在行啊!

k1k 发表于 2007-6-4 09:09:26

AVG Anti-Spyware 杀马不错,可以升级

happyearning 发表于 2007-6-4 10:33:22

瑞星早就垃圾了,n多病毒查不出,我现在改用金山了

445566 发表于 2007-6-4 11:13:10

知道凤凰灰鸽子论坛吗,几乎所有的流行的杀毒软件全过.分析这些免杀过的木马,还是要人工的.光杀毒软件是解决不了问题的,即使是最新的病毒库

蛋蛋的蛋 发表于 2007-6-4 11:53:52

瑞星和nod32 都像傻子一样 。木马杀客、3721反间谍、360安全卫士 都不行

我试试AVG Anti-Spyware 吧 在不行 我就重做

努力努力再努力 发表于 2007-6-4 11:57:48

winlogon.exe是系统进程啊
不是病毒

蛋蛋的蛋 发表于 2007-6-4 15:05:24

原帖由 努力努力再努力 于 2007-6-4 11:57 发表
winlogon.exe是系统进程啊
不是病毒

远程IP端口:221.200.60.58:8000

而且还隐藏打开这个网址 肯定是感染木马之类的了。
而且抓包一看总是隐藏打开这个网址 “hawkwl.go.3322.org”

winner01 发表于 2007-6-4 17:10:11

什么抓包软件啊这么好用,发一个上来大家一起用啊!:P

刀狼 发表于 2007-6-4 18:27:10

您查询的IP:221.200.60.58
本站主数据:辽宁省沈阳市 网通
查询结果2:辽宁省沈阳市 网通
查询结果3:辽宁省沈阳市 网通ADSL

找下插入进程类木马清除方法................

wqa333 发表于 2007-6-4 21:45:54

:lol: 蛋蛋这么不小心啊```木马应该是注入了Winlogon进程```可能是守望者吧```不要强行结束Winlogon.exe哦,好像会蓝屏的。用冰刃读取Winlogon的模块信息,看看有没可疑的DLL卸载掉,不行重装得了:lol:

蛋蛋的蛋 发表于 2007-6-4 23:41:26

ok 我再试试 今天两瓶啤酒 我又扶墙回来的 不知道什么时候才能逾越两瓶啤酒的瓶颈

nnd

phpcore 发表于 2007-6-5 00:34:16

貌似高手不少
要找原因,99.9%中了

goldenfinger 发表于 2007-6-5 00:46:52

开机以后,连网以前,用netstat -an命令看下系统开放着的端口,有点用吧。

蛋蛋的蛋 发表于 2007-6-5 02:17:51

今天迷迷糊糊的继续杀马!~

我参考了网上的一篇文章 下载了一个Syscheck2的进程管理
第一步
结速这个进程 smss
第二步
然后点击winlogon 看到有一个dente.dll的危险dll文件 遂删除。然后就以为ok了 因为抓包已经抓不到自己隐藏打开那个网址了。(已经证实那个网址是自动上线的动态毒命)高兴、激动。但是重启已经不能重启了,不知道是不是结束了进程闹得。强制关机。在开,nnd又出来了!崩溃~
继续重复以上的步骤。准备开机再试!然后故作聪明的从虚拟机复制出了一个winlogon .exe 的文件放在本机的系统文件里面。蓝屏 系统进不去了!遂。。重新恢复的以前的系统。早知道早晚要恢复就不费这个劲了!
总结完毕 ^_^:loveliness:

ps:佩服守望者 这个挺强的“加强的进程守护;包含文件的守护;删除文件的方式将无法删除守望;非法卸载成为历史”

356abc 发表于 2007-6-5 09:07:52

感染在其他盘,寄生在其他文件里面,很复杂,整机反复杀,效果也不是很好,我一般就是重装,整机格盘。要不然毒还藏在其他盘里,开机又有毒。
页: [1]
查看完整版本: 忽然感觉系统慢了抓包一看