瑞星卡卡安全论坛

机器用过卡巴，瑞星，金山都查过，没有病毒发现。
但是瑞星的邮件监控显示出邮件发出，本机的outlook没有启用，后来用金山网镖拦截一下，发现机器开机后，http连接到一个地址，得到一些信息后，然后就利用网上的SMTP服务，滥发邮件

发邮件的程序，是系统的进程 services.exe，我查看过中间的DLL，都写着是微软公司

用SREng看启动,有时发现 C:\windows\system32\userinit.exe 后面的逗号没有

都没有目标了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)


附件: 69215620078194621.txt

日志细细看了遍

好像米问题``

不会有超强灰鸽子吧！

大家如果感兴趣,明天我上午开msn的远程，愿意来看的人可以远程协助进来，和病毒拼了

你的机子是局域网还是家庭ADSL？

你的机子是服务器？安装过SQL，是什么服务器？

如果你不想给邮件发出去，你可以用金山禁止它外发数据。

开机在不上网的情况下，系统还会连接HTTP吗？找出其IP，看看是什么网站，或者找找其它有用的资料。

有点像常见的反弹连接技术。

日志版本太低.....
下载Sreng(http://www.kztechs.com/sreng/download.html)

后面的逗号都没有目标了？ 什么意思？

C:\windows\system32\userinit.exe 正常的时候是 C:\windows\system32\userinit.exe,

【回复“新版小欧”的帖子】
XP的机器，做传真+SQL+oracle的服务
封锁访问外部80端口后,发现机器先是自动访问一个地址，然后就开始利用网上的SMTP发邮件

这里是新的LOG

附件: 69215620078194554.txt

在瑞星的墙的规则设置中,设置禁止收发邮件...

【回复“爱陌能住”的帖子】
禁止收发邮件,没问题，但是开始连接网站，还可能会自动下载病毒到我的机器，根子不除不行