szb123 - 2006-10-5 1:06:00
1.winlogon.exe出现在c:\windows\system32\webm文件夹里是否正常?
2.sreng报UIHost从原来的logonui.exe被改成Royale.exe是否正常?
3.每天总有一次,上正常网站的时候ssm报IE要修改注册表,是否正常?
szb123 - 2006-10-5 1:10:00
另,瑞星在线查毒报system32下的downdll0.dll、downdll313.dll、downdll8609.dll、downdll.dll有病毒trojan.dl.agent.ldq
winrar安装目录下的msn.com文件有病毒trojan.dl.delf.czg
轩辕小聪 - 2006-10-5 1:46:00
1.winlogon.exe出现在c:\windows\system32\webm(应该是wbem吧?)文件夹里是否正常?
不正常,不但不正常,而且是个极其变态的木马下载器!!!
第2问,用了非系统默认的主题文件。
第3问,修改的是哪个项目?
那些dll文件看起来确实有问题,如果你中了第1问的那个东东,那么,这种现象的原因也就明白了。
如果真中了第一问中说的那个东东,建议:用防火墙屏蔽IP地址218.64.170.2和218.64.170.3一段时间,不管有用没用
对这个东东详细的分析见艾玛版主的博客文章
http://kvirus.bokee.com/viewdiary.13195854.html这个东东的病毒样本,我发在剑盟了
http://bbs.2dai.com/thread-438573-1-1.html它与以前的C:\WINDOWS\system32\inetsrv\csrss.exe以及在它之前刚刚出现的c:\windows\system32\wbem\smss.exe为一丘之貉。
szb123 - 2006-10-5 1:58:00
我没有中,但我是非常疑惑,因为最近看了不少朋友的扫描日志里面都有这一进程,和正常的winlogon.exe进程一起运行,不知该如何解决。
那几个dll才是我中了
另,最近tiny的官方网站一直上不去
szb123 - 2006-10-5 2:07:00
修改的好像都是IE Cache和IE Settings.
downdll0.dll、downdll313.dll、downdll8609.dll、downdll.dll、msn.com这些文件其实很早就已经被瑞星发现存在于我的电脑里面,只不过我在hijackthis和sreng里面都完全没有看见它们的踪迹,所以一直没有理会。
看了艾玛版主的博客文章,果然变态......看来中了的话除了重装以外暂时没其它解决方法了......
没看见它在系统盘以外生成文件的操作,不用格全盘吧?
轩辕小聪 - 2006-10-5 2:16:00
这个c:\windows\system32\wbem\winlogon.exe,瑞星至今不报毒。
现在又在国庆长假期间,唉……
无法忍受一般上报那种漫长的等待,我试试叫狮王心或其他管理员直接把它丢给研发部门。
szb123 - 2006-10-5 2:20:00
嗯~那看你的了~
那中了的人也只能用你所说的方法“用防火墙屏蔽IP地址218.64.170.2和218.64.170.3一段时间”支撑着先咯~
但既然是木马下载器,我还是担心它下载的木马会感染上其它分区,到时就更麻烦了......
斑竹你也可以去百度的病毒吧看看,在别人扫的日志中真的有不少带有这一进程的。或者他们所说的症状会对你的研究有帮助。但那里垃圾帖太多,真正需要帮助的人的帖子经常沉掉......
© 2000 - 2026 Rising Corp. Ltd.