瑞星卡卡安全论坛

今天有两个报告无问题的

但是启动项目里WINLOGON NOTIFY启动的有多项

只有这个文件可疑

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)

附件: dimsntfy.rar

VirSCAN.org Scanned Report :
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : dimsntfy.dll
File Size      : 19456 byte
File Type      : MS-DOS executable (EXE), OS/2 or MS Windows
MD5            : b568e33952b4fa3806b0da12226a9712
SHA1          : a3ae4dfefafbe8f47098c01ca3e5bc3a97b2d605
Online report  : http://virscan.org/report/7f4f29d3f49944344552e2f0bafd005f.html

Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result
a-squared      3.5.0.18        2008.06.28        2008-06-28  2.17  -
安博士V3      2008.06.29.00  2008.06.29        2008-06-29  0.98  -
AntiVir        7.8.0.59        7.0.5.18          2008-06-28  3.76  -
Arcavir        1.0.4          200806291219      2008-06-29  1.73  -
AVAST!        1.0.8          080628-0          2008-06-28  3.06  -
AVG            7.5.51.442      270.4.3/1524      2008-06-28  2.35  -
BitDefender    7.60825.1291241 7.19773          2008-06-29  4.33  -
CA (VET)      9.0.0.143      31.6.5911        2008-06-27  0.78  -
ClamAV        0.93            7554              2008-06-25  0.00  -
Comodo        2.11            2.0.0.570        2008-06-29  0.59  -
CP Secure      1.1.0.715      2008.06.29        2008-06-29  6.49  -
Dr.Web        4.44.0.9170    2008.06.29        2008-06-29  5.22  -
ewido          4.0.0.2        2008.06.27        2008-06-27  2.24  -
F-Prot        4.4.1.52        20080628          2008-06-28  1.64  -
F-Secure      5.51.6100      2008.06.29.01    2008-06-29  4.72  -
飞塔          2.81-3.11      0.0              2008-06-29  0.25  -
ViRobot        20080627        2008.06.27        2008-06-27  0.52  -
Ikarus        T3.1.01.26      2008.06.29.71001  2008-06-29  3.10  -
江民杀毒      11.0.706        2008.06.29        2008-06-29  1.20  -
卡巴斯基      5.5.10          2008.06.29        2008-06-29  0.04  -
金山毒霸      2008.1.14.15    2008.6.29.15      2008-06-29  0.71  -
迈克菲        5.2.00          5327              2008-06-27  2.58  -
Microsoft      1.3604          2008.06.25        2008-06-25  4.86  -
mks_vir        2.01            2008.06.29        2008-06-29  3.36  -
Norman        5.93.01        5.93.00          2008-06-27  7.50  -
熊猫卫士      9.04.03        2008.06.29        2008-06-29  1.61  -
趋势科技      8.700-1004      5.364.03          2008-06-24  0.04  -
Quick Heal    9.50            2008.06.28        2008-06-28  1.52  -
瑞星          20.0            20.50.62.00      2008-06-29  0.84  -
Sophos        2.74.1          4.30              2008-06-29  4.67  -
Sunbelt        3.0.1176.1      2106              2008-06-25  0.50  -
赛门铁克      1.3.0.24        20080628.004      2008-06-28  0.20  -
nProtect      2008-06-27.00  1558154          2008-06-27  3.22  -
The Hacker    6.2.96          v00364            2008-06-28  0.83  -
VBA32          3.12.6.8        20080629.0138    2008-06-29  1.71  -
VirusBuster    4.5.11.10      10.79.1/594378    2008-06-19  1.01  -

那邹是正常咯？

Windows 2003 或者XP SP3的系统吧？！Microsoft file related to credential roaming.

可求助者都是SP2啊。。。

安装过某些需要证书的软件

用WinDbg加载OllyICE的组件loaddll.exe，命令行参数为此dimsntfy.dll路径（为方便，预先把它copy到OllyICE的文件夹中）
加载后停在DbgBreakPoint

输入
g 004103F0

这样loaddll.exe就会运行到004103F0这条指令处停止：

loaddll!Patcharea+0x158:
004103f0 81c400020000    add    esp,200h

这时刚好过了LoadLibraryA的指令，dimsntfy.dll已经加载。

打开Debug-Modules窗口，找到dimsntfy.dll一栏，选中，点击reload按钮，则WinDbg会查找此文件的符号文件，这时WinDbg会联网到微软的Symbol Server去查找和下载pdb文件（当然前提是你正确设置了WinDbg的Symbol File Path）。

很快，WinDbg成功下载到了pdb，更新了Module List中的该行内容：

dimsntfy 45d20000 45d28000 Mon Apr 14 10:12:41 2008 (4802bd99) 00005709 PDB D:\Symbols\dimsntfy.pdb\A6AFAFDF243143E3BB3521BA937E563E1\dimsntfy.pdb

从微软的Symbol Server可以成功找到这个dimsntfy.dll所对应的pdb，说明这个文件确确实实是由微软发布的文件，因此可基本判断它属于正常文件。

当然，理论上不排除该系统文件被修改（不是普通的覆盖，而是在其中用文件补丁的方式加入了恶意代码，但是没有改变时间戳及调试信息）的可能性。

聪版，怎么清空组策略
我的GPEDIT.MSC上次受病毒影响，无法打开了，
现在OLLYDBG和AU3等等都被限制运行
:default2:
详细情况
http://bbs.ikaka.com/showtopic-8524572.aspx