瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 【求助】嗷嗷牛比 的 病毒后门进程 .高手们进来看看阿
虚假winlogon - 2005-12-4 19:21:00
玩传奇世界中的, 关联系统进程 winlogon  进程中出现 两个 winlogon
其中病毒进程是大写WINLOGON 关联系统文件:  c:\winnt\winlogon.exe(与原系统登陆进程winlogon 不在一个目录(原:c:\winnt\system32\winlogon.exe))且出现关联系统文件:c:\winnt\ExERoute.exe  文件图标为传奇世界图标
  两文件删除后自动生成(无法删除) 
该进程结束后自动运行    注册表内
自动关联原 winlogon 运行,内存占用很高。
并发现有外人通过该进程打开的端口 入侵我的机器         
众多杀毒软件 检查 均无反应      且 木马克星无法运行
maldini - 2005-12-4 19:25:00
先到服务里找找有没有相应的自动启动的服务。
虚假winlogon - 2005-12-4 19:27:00
与 系统进程  winlogon 关联自启动    它不启动    系统就不能启动~~  无奈  ………………
maldini - 2005-12-4 19:33:00
用hijackthis扫描日志发上来看看吧
虚假winlogon - 2005-12-4 19:38:00
我先重启~  。。。。
maldini - 2005-12-4 19:38:00
参考http://forum.ikaka.com/topic.asp?board=28&artid=5666824
虚假winlogon - 2005-12-4 19:51:00
Logfile of HijackThis v1.99.1
Scan saved at 19:49:00, on 2005-12-4
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Antiy Labs\Alive\AliveCenter.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\tlntsvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\WINLOGON.EXE
C:\WINNT\system32\khooker.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\sistray.exe
C:\WINNT\system32\rundll32.exe
G:\防火墙\hijackthis\HijackThis.exe
maldini - 2005-12-4 19:53:00
后面还有啊
虚假winlogon - 2005-12-4 19:55:00
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINNT\system32\mbprot.dll
O23 - Service: Antiy live update (Alive Auto-Update Service) - Unknown owner - C:\Program Files\Antiy Labs\Alive\AliveCenter.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

没有  灰鸽子的  服务添加
虚假winlogon - 2005-12-4 19:58:00
在这之前  我用各种版本的灰鸽子专杀查过    一直都没有发现
baohe - 2005-12-4 20:02:00
【回复“虚假winlogon”的帖子】
C:\WINNT\WINLOGON.EXE
请找到这个文件,打包,发到:baohelin@yahoo.com.cn
虚假winlogon - 2005-12-4 20:24:00
发完了~  欢迎研究哈哈~
虚假winlogon - 2005-12-4 20:27:00
对了  天网  也运行不了   
  这东西真牛啊~
虚假winlogon - 2005-12-4 21:17:00
现在啥网络游戏都不敢上~~  怕丢~
baohe - 2005-12-4 22:20:00
【回复“虚假winlogon”的帖子】
我已经把它灭了:http://forum.ikaka.com/topic.asp?board=28&artid=7495863
虚假winlogon - 2005-12-5 0:50:00
哈哈高手就是高手~  小弟佩服~
超级菜鸟求助 - 2005-12-5 3:43:00
5555555555555,.我也是玩传世的,这段时间俩个帐号被盗N次了,我没有重装系统,没有人帮我看看机子,我菜啊,郁闷中~~~~~~~```
虚假winlogon - 2005-12-5 4:01:00
自己学着看~  病毒嘛~ 无论是什么程序在系统中运行都有个进程(好像灰鸽子隐藏进程 是个例外),记住  windows常用进程  发现 不知名进程就 上网查一下 这样就会把危险降到最低。未雨绸缪,总比亡羊补牢来的要好!    我也是在无数的郁闷中走过来的  —_—
虚假winlogon - 2005-12-6 3:30:00
baohe 这个病毒  又有问题被发现了~
1
查看完整版本: 【求助】嗷嗷牛比 的 病毒后门进程 .高手们进来看看阿
© 2000 - 2026 Rising Corp. Ltd.