瑞星卡卡安全论坛

已删除

这么厉害？就是我们作为普通的用户还是不惹它为好了？
只要加载了最新的规则包，就算它这个木马还是会存在于我的电脑中，我们的系统亦可无事？

另外，我使用了GOOGLE的硬盘搜索工具搜索了全个硬盘所有的分区的目录(就以fe7zf.exe 为关键字)，均找不到这文件。那么，究竟是下面的哪个情况。
1.系统干净，目录还没中这个木马。
2.系统其实已了招。不过，它的技术高明，欺骗搜索工具？

是啊～～！

winlogon.exe 本来是windows的核心程序，是不会访问网络的！！！
这句话引起了我的高度重视，因为我的电脑上就出现过winlogon.exe连接网页的请求，被我拒绝后，就再也没有出现过。时间大概是10.31，加了规则包之后。
刚才我搜了下，发现有三个winlogon.exe文件！请问我该删哪个？（说明：XP-SP2系统。11月8号将系统还原了一次，又是因为紫光拼音不能打汉字及任务栏右边的小图标无法隐藏的问题）

附件: 59089920051110104207.JPG

！在ＳＹＳＴＥＭ３２目录下搜索过fe7zf.exe，没有找到。

附件: 59089920051110104344.jpg

呵呵

引用:

【漂亮妹妹1989的贴子】winlogon.exe 本来是windows的核心程序，是不会访问网络的！！！ 这句话引起了我的高度重视，因为我的电脑上就出现过winlogon.exe连接网页的请求，被我拒绝后，就再也没有出现过。时间大概是10.31，加了规则包之后。 刚才我搜了下，发现有三个winlogon.exe文件！请问我该删哪个？（说明：XP-SP2系统。11月8号将系统还原了一次，又是因为紫光拼音不能打汉字及任务栏右边的小图标无法隐藏的问题） ...........................

好像你中招了。。。。
等寿宁过来确认吧
应该是11月8日中招的
第二个文件 有问题
等寿宁核实吧

漂亮妹妹，你的第一个截图里面第二个文件在Prefetch目录下，据我所知，这个目录下的文件但删无妨，没问题。另外第三个文件winlogon.exe在dllcache下，很可疑。我搜索了一下我的system32文件夹只找到一个winlongon文件,而且dllcache下没有winlongon.exe。你不放用工具看一下第二个winlongon.exe关联了那些dll，如下图所示，也许会找到些蛛丝马迹。

综上：
o 第二个文件删之；
o 第三个文件很可疑。

附件: 28054420051110113911.JPG

谢谢果冻的分析。
再等寿宁来确诊后，就可以下毒手将其歼之！

引用:

【漂亮妹妹1989的贴子】谢谢果冻的分析。 再等寿宁来确诊后，就可以下毒手将其歼之！ ...........................

可惜不知道寿宁什么时候来哦
莫让你等的花都谢了……

希望我没中啊.

我就是中毒,而且无法删除掉的人....

好像果冻同学没看完偶的文字
第三方工具 删除 和探察很容易 导致引导区挂掉哦
何况第三方工具 导致防火墙失效 也不是什么新鲜事

另外寿宁每天都来社区的。。。。。
还有果冻同学  好像中了鸽子。。。

引用:

【漂亮妹妹1989的贴子】谢谢果冻的分析。 再等寿宁来确诊后，就可以下毒手将其歼之！ ...........................

还是等寿宁吧～～！！

引用:

【taylor05771的贴子】好像果冻同学没看完偶的文字 第三方工具 删除 和探察很容易 导致引导区挂掉哦 何况第三方工具 导致防火墙失效 也不是什么新鲜事 ...........................

老大，你放心，偶说了让她删她也不会听偶的，呵呵……
我的方法只适合偶自己，没人会听。
人家都是谨小慎微的，哪象偶，什么都敢用。

引用:

【taylor05771的贴子】另外寿宁每天都来社区的。。。。。 还有果冻同学  好像中了鸽子。。。 ...........................

中了鸽子？？好消息，好消息！
每次去反病毒区看见人家谈论鸽子，还讲如何删除羡慕死了，就想这些家伙在哪弄来的。我终于等到这一天了吗？
不放告诉我中了鸽子有哪些特征哦

引用:

【C++果冻的贴子】 中了鸽子？？好消息，好消息！ 每次去反病毒区看见人家谈论鸽子，还讲如何删除羡慕死了，就想这些家伙在哪弄来的。我终于等到这一天了吗？ 不放告诉我中了鸽子有哪些特征哦 ...........................

飘过
要鸽子吗 找我就是。。。
还免费提供免杀服务

引用:

【C++果冻的贴子】 中了鸽子？？好消息，好消息！ 每次去反病毒区看见人家谈论鸽子，还讲如何删除羡慕死了，就想这些家伙在哪弄来的。我终于等到这一天了吗？ 不放告诉我中了鸽子有哪些特征哦 ...........................

你种鸽子了，扫个日志上来～！！

帮我好好分析一下，谢谢，谢谢！
----------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 12:10:45, on 2005-11-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\ProcessGuard\pgaccount.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ProcessGuard\procguard.exe
C:\Program Files\ProcessGuard\dcsuserprot.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\系统安全\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Program Files\ProcessGuard\pgaccount.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Program Files\ProcessGuard\procguard.exe" -minimize
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129867573814
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130316396953
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Program Files\ProcessGuard\dcsuserprot.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
-----------------------------------------------------------

引用:

【taylor05771的贴子】 飘过 要鸽子吗 找我就是。。。 还免费提供免杀服务 ...........................

俺不想主动要鸽子，暗想杀那不请自来的

哪有鸽子？？

引用:

【吃猫的鱼1984的贴子】晕～你的版本太低，去病毒版下个新的 http://forum.ikaka.com/topic.asp?board=28&artid=6979213 下载第１楼的就是了 ...........................

1.99.1还低吗？只不过是英文版而已，不妨碍分析的

引用:

【C++果冻的贴子】 1.99.1还低吗？只不过是英文版而已，不妨碍分析的 ...........................

没看见鸽子～～

【回复“漂亮妹妹1989”的帖子】“C++果冻”分析很对，你可以按照他和网警说的去做。

如果还有什么问题，你可以加我的QQ。

另外，为避免与防火墙规则包的不兼容问题，不建议用第三方软件来查找（搜索）。

也不建议用第三方工具来删除，当然，这对新手来说或许有点困难，但解决困难也就是提高自己的必要途径。

引用:

【寿宁的贴子】也不建议用第三方工具来删除，当然，这对新手来说或许有点困难，但解决困难也就是提高自己的必要途径。 ...........................

说的真精致~~~

引用:

【吃猫的鱼1984的贴子】没看见鸽子～～ ...........................

没看见就对了
我的机器里怎么会有鸽子？！是吧

引用:

【C++果冻的贴子】 没看见就对了 我的机器里怎么会有鸽子？！是吧 ...........................

送你一个～～！！