凄红之眼 - 2008-6-8 9:01:00
[smss.exe]
PID = 0x2bc
CommandLine =
smss.exe
0x48580000
C:\WINDOWS\system32\smss.exe
5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Microsoft Corporation
Windows NT Session Manager
2004-08-04 08:52:38
ntdll.dll
0x7c920000
C:\WINDOWS\system32\ntdll.dll
5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Microsoft Corporation
NT Layer DLL
2004-08-04 08:52:02
[csrss.exe]
PID = 0x2f8
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
csrss.exe
0x4a680000
c:\windows\system32\csrss.exe
5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Microsoft Corporation
Client Server Runtime Process
2004-08-04 08:52:30
[services.exe]
PID = 0x2fc
CommandLine = C:\WINDOWS\system32\winevt\services.exe
services.exe
0x400000
C:\WINDOWS\system32\winevt\services.exe
2008-06-08 08:09:52
[csrss.exe]
PID = 0x284
CommandLine = C:\WINDOWS\system32\winevt\csrss.exe 221.238.114.214
csrss.exe
0x400000
C:\WINDOWS\system32\winevt\csrss.exe
2008-06-08 08:10:32
[smss.exe]
PID = 0x578
CommandLine = "C:\WINDOWS\system32\winevt\smss.exe"
smss.exe
0x400000
C:\WINDOWS\system32\winevt\smss.exe
2008-06-03 17:12:30
感觉这里面的可疑:C:\WINDOWS\system32\winevt\
C:\WINDOWS\system32\winevt\smss.exe,还有UDP访问
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
天月来了 - 2008-6-8 9:16:00
C:\WINDOWS\system32下的是真的呗
同时这还得配合MD5的检测,才更准
凄红之眼 - 2008-6-8 10:28:00
C:\WINDOWS\system32\winevt\
下的假的是病毒吗,如何杀死?
ququjiulai - 2008-6-8 14:47:00
我也是这个样子……
winevt\有smss.exe和csrss.exe
还会有个kinds文件夹 里面是些数字名的文件……
不定期发作 很是苦恼
rskaka6332901 - 2008-6-8 16:48:00
C:\WINDOWS\system32\winevt\这个文件夹下面的文件可以删除,但过一断时间后会自动产生的。删也不白删,我已经把这些文件上报给瑞星,没有任何回音。同样,会在system32文件夹下面自动产生一些文件夹,如:kinds,winevt,up,ok,等等,文件夹里面是一些骗子文件,如:smss.exe,servics.exe,csrass.exe,dconfig.exe等。我已经系统重装过了,没用多久,就来了,求救了……我用的win2000 ADV系统。
ququjiulai - 2008-6-8 22:10:00
希望能早点解决……各位高手加油……
© 2000 - 2024 Rising Corp. Ltd.