12   1  /  2  页   跳转

[求助] Q号被盗。瑞*杀不出毒。有日志

Q号被盗。瑞*杀不出毒。有日志

R.T

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 609; QQPinyin 722; TencentTraveler 4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; InfoPath.2)

附件附件:

文件名:SREngLogEm.LOG
下载次数:126
文件类型:application/octet-stream
文件大小:
上传时间:2010-2-5 23:05:27
描述:log

Stephy!?sTephy!?stEphy!?stePhy!?stepHy!?stephY!?很好很强大!!
分享到:
gototop
 

回复: Q号被盗。瑞*杀不出毒。有日志

补充一下。用sreng扫描的时候第1次扫了15分钟都没有扫完。我就用任务管理器直接结束掉.重启。重启后扫又没事了- -||
Stephy!?sTephy!?stEphy!?stePhy!?stepHy!?stephY!?很好很强大!!
gototop
 

回复:Q号被盗。瑞*杀不出毒。有日志

[C:\WINDOWS\system32\USER32.dll]  [Microsoft Corporation, 5.1.2600.3099 (xpsp_sp2_qfe.070308-0217)]
[C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\comctl32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]
此三项每个进程里都有,值得怀疑~  其他倒没什么问题,请问楼主被盗的时候有看到系统里可疑进程么?  瑞星的防火墙功能是否开启?
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  []
缺乏公司信息~ 可能是没有卸载完全或者安装完全~

建议打开所有监控,在安全模式下杀毒~
娱乐致死还是娱乐至死啊?
gototop
 

回复:Q号被盗。瑞*杀不出毒。有日志

日志没有看出什么可疑的。
建议楼主使用瑞星的帐号保险柜
要深入,要专一.......
gototop
 

回复:Q号被盗。瑞*杀不出毒。有日志

被盗的时候我人也在的。突然就显示Q在被的地方登录。我就知道被盗了。在被盗后我用金山的金程管理器找风险程序。找到了一个好像是explore(应该没记错。)的进程。里面有一个数字签名不对。。。。。。。。。。。。。。。我有用帐号保险柜的。
Stephy!?sTephy!?stEphy!?stePhy!?stepHy!?stephY!?很好很强大!!
gototop
 

回复: Q号被盗。瑞*杀不出毒。有日志

有图了。就是这个!!
Stephy!?sTephy!?stEphy!?stePhy!?stepHy!?stephY!?很好很强大!!
gototop
 

回复: Q号被盗。瑞*杀不出毒。有日志



引用:
原帖由 无聊上离T下 于 2010-2-6 1:32:00 发表
有图了。就是这个!!



这个是显卡驱动的文件,正常
请想想是否在其他公共场合登陆过QQ
请更改密码后 留意在本机登陆是否被他人登陆
gototop
 

回复: Q号被盗。瑞*杀不出毒。有日志

那进程文件打包上传

正常的图标应该是这样的
除非你用了系统美化包

日志显示没有通过验证数字签名
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [Microsoft Corporation]

无(Verified)标记

发上来看看保险些



gototop
 

回复: Q号被盗。瑞*杀不出毒。有日志



引用:
原帖由 夲號ヱ被ジ盜 于 2010-2-6 7:10:00 发表
那进程文件打包上传

正常的图标应该是这样的
除非你用了系统美化包

Xman Warhammer Power Levelingprovides you fast & cheap power leveling service. Xmanlevel has run wow power leveling service for a long time.


日志显示没有通过验证数字签名
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Exp......
gototop
 

回复 8F 夲號ヱ被ジ盜 的帖子

我没有注意注册表里的这个Verified
楼主请按照8楼的做,把那个文件上传。
最后编辑辛达星郁 最后编辑于 2010-02-06 11:52:29
要深入,要专一.......
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT