瑞星卡卡安全论坛

一朋友聊天记录被曝，称记录中有情感隐私，更重要是牵涉生意事务，估计要影响到家庭及生意。近日突然回想起曾在QQ上接收来自己可靠朋友所发“照片.rar”。我自认电脑网络方面比他略懂，于是让他亦给我发送一遍此文件。因为我电脑的防御系统还是比较严密的。下面是一系列现象。
1、在接收到他所发“照片.rar”后，360网盾即提醒下载“文件安全性未知，请谨慎打开”；
如图
[br]
2、不管，点击打开文件，由360解压程序解压，见文件夹中只有“照片.EXE”一个文件，点击，瑞星即弹出清除病毒提示，如图
[br]
并显示（出错）信息如下
[br]
3、关闭瑞星监控保护，剩360卫士，再次点击“照片.EXE”，360报毒，如图：
[br]

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

续上
接着关闭360安全卫士，再次点击“照片.EXE”,屏幕没多大发应。之后，我重新启动360安全卫士，迅速查到有病毒木马，（记不清是自动查到还是我有意启动卫士进行木马查杀了，汗）如图
[br]
于是我按照卫士所示，找到c:\Program Files\ELTAJPWC文件夹。我知这个文件夹及其中文件都是这“照片.EXE”所施放的。
所以我再次关闭360卫士和瑞星，并点击压缩包中“照片.EXE”，然后进入ELTAJPWC文件夹下，发现有这么一些文件[br]
其中winlog,exe文件，居然是图片文件的图标。于是我再去打开任务管理器，端详进程。发现多了
winlog.exe进程，如图。于是从百度里搜关于此进程的说明。
[br]
说明：此前，我已经在干净开机，打开瑞星监控和360卫士，并登录两个QQ号后查看和截图了任务管理器中的进程。如图[br]
请瑞星师傅和坛中高手们帮忙我分析诊断。
依我所述，及你们掌握的经验，是否我这朋友接收了“照片.rar”后，就导致了他的聊天记录被盗取，据他说，他家中的电脑也接收了这个文件。

嘿嘿,要是我的话,光看到这一个照片.EXE就直接粉碎文件了,因为在我看来那个明显是毒吗

就是病毒所谓，那个图片都是.exe后缀名。
叫你朋友赶紧全盘杀毒吧。

winlog.exe是一个类似于落雪病毒的木马病毒，感染后的状况是磁盘和文件夹打开方式被修改，exe后缀无法显示。从楼主的描述中可以看出图片文件格式被改为.exe后缀的情况，结合杀毒软件的报警，很明显是病毒所至。建议使用瑞星最新版杀毒软件立刻进行全盘查杀。

应该是接收之后运行了相关文件中毒了，建议断网进入安全模式下用最新版瑞星杀毒软件全盘杀毒。并修改QQ密码。建议楼主也进行一次全盘扫描

谢谢楼上各位，我主要是替我朋友弄清楚究竟是不是这个“照片.rar”导致他的聊天记录被盗中，因为这对他很重要，在我追问之下，他想到给他发这个文件的朋友其实与他是深层纠葛或者利益冲突的，而且根据朋友所述，他之后有好奇地问这位朋友为何要给他发这照片文件，那朋友只说是发错了。从中判断出并非失手或者QQ受病毒侵害主动发的。

呈上文件样本，即“照片.rar”压缩包

附件: 照片.rar

winlogon.exe可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。
所以问题应该就出在这个文件上，建议用瑞星杀毒全盘扫描下，上网谨慎接收文件等。