趁着斑竹在，有几个疑惑希望版主帮忙解决 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛趁着斑竹在，有几个疑惑希望版主帮忙解决

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

趁着斑竹在，有几个疑惑希望版主帮忙解决

szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:	发表于： 2006-10-05 01:06 \| 只看楼主短消息资料字号：小中大 1楼趁着斑竹在，有几个疑惑希望版主帮忙解决 1.winlogon.exe出现在c:\windows\system32\webm文件夹里是否正常？ 2.sreng报UIHost从原来的logonui.exe被改成Royale.exe是否正常？ 3.每天总有一次，上正常网站的时候ssm报IE要修改注册表，是否正常？ 2006-10-05 02:12:44
szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:	分享到：

szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:	发表于： 2006-10-05 01:10 \| 只看楼主短消息资料字号：小中大 2楼另,瑞星在线查毒报system32下的downdll0.dll、downdll313.dll、downdll8609.dll、downdll.dll有病毒trojan.dl.agent.ldq winrar安装目录下的msn.com文件有病毒trojan.dl.delf.czg
szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-10-05 01:46 \| 短消息资料字号：小中大 3楼 1.winlogon.exe出现在c:\windows\system32\webm（应该是wbem吧？）文件夹里是否正常？不正常，不但不正常，而且是个极其变态的木马下载器！！！第2问，用了非系统默认的主题文件。第3问，修改的是哪个项目？那些dll文件看起来确实有问题，如果你中了第1问的那个东东，那么，这种现象的原因也就明白了。如果真中了第一问中说的那个东东，建议：用防火墙屏蔽IP地址218.64.170.2和218.64.170.3一段时间，不管有用没用对这个东东详细的分析见艾玛版主的博客文章 http://kvirus.bokee.com/viewdiary.13195854.html 这个东东的病毒样本，我发在剑盟了 http://bbs.2dai.com/thread-438573-1-1.html 它与以前的C:\WINDOWS\system32\inetsrv\csrss.exe以及在它之前刚刚出现的c:\windows\system32\wbem\smss.exe为一丘之貉。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:	发表于： 2006-10-05 01:58 \| 只看楼主短消息资料字号：小中大 4楼我没有中，但我是非常疑惑，因为最近看了不少朋友的扫描日志里面都有这一进程，和正常的winlogon.exe进程一起运行，不知该如何解决。那几个dll才是我中了另，最近tiny的官方网站一直上不去
szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:

szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:	发表于： 2006-10-05 02:07 \| 只看楼主短消息资料字号：小中大 5楼修改的好像都是IE Cache和IE Settings. downdll0.dll、downdll313.dll、downdll8609.dll、downdll.dll、msn.com这些文件其实很早就已经被瑞星发现存在于我的电脑里面，只不过我在hijackthis和sreng里面都完全没有看见它们的踪迹，所以一直没有理会。看了艾玛版主的博客文章，果然变态......看来中了的话除了重装以外暂时没其它解决方法了...... 没看见它在系统盘以外生成文件的操作，不用格全盘吧?
szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-10-05 02:16 \| 短消息资料字号：小中大 6楼这个c:\windows\system32\wbem\winlogon.exe，瑞星至今不报毒。现在又在国庆长假期间，唉…… 无法忍受一般上报那种漫长的等待，我试试叫狮王心或其他管理员直接把它丢给研发部门。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:	发表于： 2006-10-05 02:20 \| 只看楼主短消息资料字号：小中大 7楼嗯～那看你的了～那中了的人也只能用你所说的方法“用防火墙屏蔽IP地址218.64.170.2和218.64.170.3一段时间”支撑着先咯～但既然是木马下载器，我还是担心它下载的木马会感染上其它分区，到时就更麻烦了...... 斑竹你也可以去百度的病毒吧看看，在别人扫的日志中真的有不少带有这一进程的。或者他们所说的症状会对你的研究有帮助。但那里垃圾帖太多，真正需要帮助的人的帖子经常沉掉......
szb123 自信弱冠狮帖子:446 注册: 2006-01-13 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT