瑞星卡卡安全论坛
新版小欧 - 2007-4-13 21:35:00
今天发现有些贴子的日志里,进程加载的DLL特别多,日志很长.我注意发现只要有下面两个DLL文件的日志都这样
[C:\WINDOWS\system32\GDI32.dll] [Microsoft Corporation, 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)]
[C:\WINDOWS\system32\USER32.dll] [Microsoft Corporation, 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)]
参考贴
http://forum.ikaka.com/topic.asp?board=28&artid=8297368
哪位知道的还请指教指教~~~~
勇闯猪罗纪 - 2007-4-13 21:43:00
| 引用: |
【新版小欧的贴子】今天发现有些贴子的日志里,进程加载的DLL特别多,日志很长.我注意发现只要有下面两个DLL文件的日志都这样
[C:\WINDOWS\system32\GDI32.dll] [Microsoft Corporation, 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)]
[C:\WINDOWS\system32\USER32.dll] [Microsoft Corporation, 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)]
参考贴
http://forum.ikaka.com/topic.asp?board=28&artid=8297368
哪位知道的还请指教指教~~~~
……………… |
百度帖吧里找到的
在Windows里,最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。
新版小欧 - 2007-4-13 21:46:00
也不至于,每个进程都加载吧
除了这两个还有其它,我没全搞出来到
天月来了 - 2007-4-13 21:48:00
我这两天都是看这不少日志,开始出这现象了,都是进程加载的DLL特别多,日志很长.
我一直等哪位高手指点一二呢。
是新变种病毒,还是谁建议的扫日志方式有错??
尤其是在启动项,还有正在运行的程序里。多得看晕了。
新版小欧 - 2007-4-13 21:52:00
我是开始不太信任微软的标志了
猫叔有空也看看,反正感觉不是很正常
天月来了 - 2007-4-13 22:02:00
猫猫在有个贴里也奇怪这个呢。
新版小欧 - 2007-4-13 22:14:00
早上和他看的也有个贴是一样的,那贴不知道飞哪去了~~~
�火影忍者 - 2007-4-13 22:17:00
这个问题直得考虑下........
天月来了 - 2007-4-13 22:24:00
并且只是这几天。
以前也有过,但是不象现在这么频繁。
天月来了 - 2007-4-13 22:30:00
我自己试了下:
如果钩起扫描时的那个“检查进程模块的数字签名”就会在“正在运行的进程”里多出很多.DLL进程。
但是启动项里没变化。
不过在安全模式里钩起扫描时的那个“检查进程模块的数字签名”,就到处都多出来了。
可就是不知别人怎么扫的?????????????
新版小欧 - 2007-4-13 22:42:00
今天早上看了那贴后,我还特别使用了个文件对比软件,进行了进程加载的DLL文件对比,发现相同的DLL文件在每个进程中都有,因为有微软的标志,所以我一直也想不通.
有没有这样一个可能:
某个恶意插件或程序,有意的改变了系统中某个功能或文件,使进程加载一些不必要的DLL.这样的用意在于加长日志.换句话说:只是个恶意技术
呵呵~~~个人见解~~~
天月来了 - 2007-4-13 22:54:00
等猫猫怎么说。
baohe - 2007-4-13 22:55:00
【回复“天月来了”的帖子】
忘记那个帖子的地址了。
那现像————令人费解。很想接触那台电脑。
天月来了 - 2007-4-13 22:58:00
不只是那个,这还有好几个贴都是。
主要是“启动”和“正在运行的进程”
不象以前的日志了。
是不是SRENG的2.3版本和2.4版本的区别呢?
baohe - 2007-4-13 23:01:00
| 引用: |
【天月来了的贴子】不只是那个,这还有好几个贴都是。
主要是“启动”和“正在运行的进程”
不象以前的日志了。
是不是SRENG的2.3版本和2.4版本的区别呢?
……………… |
我觉得2.3好些
新版小欧 - 2007-4-13 23:02:00
| 引用: |
【天月来了的贴子】
是不是SRENG的2.3版本和2.4版本的区别呢?
……………… |
2.3?2.4 对泊,明天试试~
新版小欧 - 2007-4-13 23:04:00
| 引用: |
【baohe的贴子】
我觉得2.3好些
……………… |
支持~不过可以测试一下2.4的,扫的时候会不会有哪情况
天月来了 - 2007-4-13 23:06:00
猫猫!!!!!!
在这呢!!!!
http://forum.ikaka.com/topic.asp?board=28&artid=8297468&page=2
早上的那个贴。
baohe - 2007-4-13 23:13:00
| 引用: |
【新版小欧的贴子】
支持~不过可以测试一下2.4的,扫的时候会不会有哪情况
……………… |
我用2.4扫过N次日志——————没有那么热闹。那种热闹的日志,估计还是与中毒有关。
天月来了 - 2007-4-13 23:19:00
猫猫!!!
这又一个多的不能受的-------http://forum.ikaka.com/topic.asp?board=28&artid=8298048&page=1
天月来了 - 2007-4-13 23:20:00
这问题解决了才定心呢。
好奇死了。
呵呵!!!!!!!!!
新版小欧 - 2007-4-13 23:20:00
呵呵,
猫叔,放心,偶的工作就是帮实际客户解决问题,以后要是见过这样的电脑系统,我一定GHOST一份下来.发给你分析分析
呵呵
baohe - 2007-4-13 23:21:00
| 引用: |
【天月来了的贴子】猫猫!!!!!!
在这呢!!!!
http://forum.ikaka.com/topic.asp?board=28&artid=8297468&page=2
早上的那个贴。
……………… |
是的。就是这份日志,另我迷惑。
但是,楼主的系统中确实有毒。只是————不知道毒与日志的这种现像之间的关系。
天月来了 - 2007-4-13 23:44:00
这几天这样多的已有好几个了。
刚才又出的那一个,估计也与毒有关系。
天月来了 - 2007-4-13 23:47:00
就怕是毒写入这些系统的.dll文件里。然后再在启动里给加进这些。
注入这些微软的模块可没人在意的。
真想停了那些东东试试。
新版小欧 - 2007-4-13 23:59:00
| 引用: |
【天月来了的贴子】就怕是毒写入这些系统的.dll文件里。然后再在启动里给加进这些。
注入这些微软的模块可没人在意的。
真想停了那些东东试试。
……………… |
我还有个想法,和你一样,担心系统其它并不是重要的DLL要是被修改了,这又要是个大问题了.
想像一下,以后的病毒日志和正常系统日志一点都没有分别时,会是什么样子...
勇闯猪罗纪 - 2007-4-14 0:04:00
| 引用: |
【新版小欧的贴子】
想像一下,以后的病毒日志和正常系统日志一点都没有分别时,会是什么样子...
……………… |
我建议大家到时把电脑都砸了 然后12忆人都不买电脑了
我看他的毒还中给谁去。至少害不到国人咯
月之舞者 - 2007-4-14 0:23:00
都砸了也好!日志看多了会疯掉的.尤其看多了改动过的日志.
天月来了 - 2007-4-14 0:38:00
我在19楼说的那个贴,不知能不能搞出名堂。
都去看看吧。
要样本试试。
天月来了 - 2007-4-14 9:45:00
http://forum.ikaka.com/topic.asp?board=28&artid=8297375
这一贴也这毛病!!!!
都是微软的.dll 文件加载那么多。平时是扫不出来的,现在怎这么多呢?
© 2000 - 2026 Rising Corp. Ltd.