忽然感觉系统慢了抓包一看

[复制链接]
查看: 2459   回复: 19
发表于 2007-6-4 01:50:02 | 显示全部楼层 |阅读模式
hawkwl.go.3322.org
总是打开这个页子?
请问到底是怎么了?没干别的啊!
发表于 2007-6-4 03:29:06 | 显示全部楼层
动态毒命,看看是不是中了鸽子,在自动上线..
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-6-4 03:33:13 | 显示全部楼层
瑞星、nod32 跟傻子似的

肯定是木马了把
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-6-4 03:48:00 | 显示全部楼层
名称:winlogon.exe
TCP/UDP:TCP
安全级别: 安全
本机IP端口:121.116.17.48:1657
远程IP端口:221.200.60.58:8000
状态:同步发送
PID:1020
路径:\??\C:\windows\system32\winlogon.exe
详细信息:
:mad:  中了
回复 支持 反对

使用道具 举报

发表于 2007-6-4 06:43:59 | 显示全部楼层
绝对的类灰鸽子木马
回复 支持 反对

使用道具 举报

发表于 2007-6-4 07:57:43 | 显示全部楼层
对付这个好像360比较在行啊!
回复 支持 反对

使用道具 举报

发表于 2007-6-4 09:09:26 | 显示全部楼层
AVG Anti-Spyware 杀马不错,可以升级
回复 支持 反对

使用道具 举报

发表于 2007-6-4 10:33:22 | 显示全部楼层
瑞星早就垃圾了,n多病毒查不出,我现在改用金山了
回复 支持 反对

使用道具 举报

发表于 2007-6-4 11:13:10 | 显示全部楼层
知道凤凰灰鸽子论坛吗,几乎所有的流行的杀毒软件全过.分析这些免杀过的木马,还是要人工的.光杀毒软件是解决不了问题的,即使是最新的病毒库
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-6-4 11:53:52 | 显示全部楼层
瑞星和nod32 都像傻子一样 。木马杀客、3721反间谍、360安全卫士 都不行

我试试AVG Anti-Spyware 吧 在不行 我就重做
回复 支持 反对

使用道具 举报

发表于 2007-6-4 11:57:48 | 显示全部楼层
winlogon.exe是系统进程啊
不是病毒
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-6-4 15:05:24 | 显示全部楼层
原帖由 努力努力再努力 于 2007-6-4 11:57 发表
winlogon.exe是系统进程啊
不是病毒


远程IP端口:221.200.60.58:8000

而且还隐藏打开这个网址 肯定是感染木马之类的了。
而且抓包一看总是隐藏打开这个网址 “hawkwl.go.3322.org”
回复 支持 反对

使用道具 举报

发表于 2007-6-4 17:10:11 | 显示全部楼层
什么抓包软件啊这么好用,发一个上来大家一起用啊!忽然感觉系统慢了抓包一看
回复 支持 反对

使用道具 举报

发表于 2007-6-4 18:27:10 | 显示全部楼层
您查询的IP:221.200.60.58
本站主数据:辽宁省沈阳市 网通
查询结果2:辽宁省沈阳市 网通
查询结果3:辽宁省沈阳市 网通ADSL

找下插入进程类木马清除方法................
回复 支持 反对

使用道具 举报

发表于 2007-6-4 21:45:54 | 显示全部楼层
忽然感觉系统慢了抓包一看: 蛋蛋这么不小心啊```木马应该是注入了Winlogon进程```可能是守望者吧```不要强行结束Winlogon.exe哦,好像会蓝屏的。用冰刃读取Winlogon的模块信息,看看有没可疑的DLL卸载掉,不行重装得了忽然感觉系统慢了抓包一看:
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-6-4 23:41:26 | 显示全部楼层
ok 我再试试 今天两瓶啤酒 我又扶墙回来的 不知道什么时候才能逾越两瓶啤酒的瓶颈

nnd
回复 支持 反对

使用道具 举报

发表于 2007-6-5 00:34:16 | 显示全部楼层
貌似高手不少
要找原因,99.9%中了
回复 支持 反对

使用道具 举报

发表于 2007-6-5 00:46:52 | 显示全部楼层
开机以后,连网以前,用netstat -an命令看下系统开放着的端口,有点用吧。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-6-5 02:17:51 | 显示全部楼层
今天迷迷糊糊的继续杀马!~

我参考了网上的一篇文章 下载了一个Syscheck2的进程管理
第一步
结速这个进程 smss
第二步
然后点击winlogon 看到有一个dente.dll的危险dll文件 遂删除。  然后就以为ok了 因为抓包已经抓不到自己隐藏打开那个网址了。(已经证实那个网址是自动上线的动态毒命)高兴、激动。但是重启已经不能重启了,不知道是不是结束了进程闹得。强制关机。在开,nnd  又出来了!崩溃~
继续重复以上的步骤。准备开机再试!然后故作聪明的从虚拟机复制出了一个winlogon .exe 的文件放在本机的系统文件里面。蓝屏 系统进不去了!  遂。。重新恢复的以前的系统。早知道早晚要恢复就不费这个劲了!
总结完毕 ^_^忽然感觉系统慢了抓包一看

ps:佩服守望者 这个挺强的“加强的进程守护;包含文件的守护;删除文件的方式将无法删除守望;非法卸载成为历史”
回复 支持 反对

使用道具 举报

发表于 2007-6-5 09:07:52 | 显示全部楼层
感染在其他盘,寄生在其他文件里面,很复杂,整机反复杀,效果也不是很好,我一般就是重装,整机格盘。要不然毒还藏在其他盘里,开机又有毒。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则