123   2  /  3  页   跳转

一只隐蔽的灰鸽子winlogon.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-10 23:15 | 显示全部 短消息 资料
字号: 11楼

引用:
【想不出名字的贴子】想问下  怎么能看出来 我的机器中了这个鸽子呢? 

我的winlogon.exe是在c:\windows\system32

在windows大目录下面没有看见winlogon.exe  也没有见另外那2个

程序。  谢谢斑竹回答
………………

中了这只鸽子,你用WINDOWS的资源管理器查看文件,在windows目录下见不到winlogon.exe以及那两个dll文件,即使你“显示隐藏文件”,也看不到。然而,windows目录下确实存在这三个木马文件。用IceSword才能看到。这就是这只鸽子的特点。
现在常用的三个扫日志的工具也发现不了异常。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 09:34 | 显示全部 短消息 资料
字号: 12楼

引用:
【想不出名字的贴子】我是新手,问个初级问题。

是不是正常系统里面只有在c:\windows\system32下才有winlogon.exe

如果在别的文件夹下面有winlogon.exe以及另2个dll文件,就能说明系统中了鸽子

谢谢斑竹

………………

1、“正常系统里面只有在c:\windows\system32下才有winlogon.exe”——正确。

2、如果在别的文件夹下面有winlogon.exe......——以winlogon.exe为名的木马/病毒不止一个、两个。具体问题,具体分析。不能一概而论。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 09:38 | 显示全部 短消息 资料
字号: 13楼

引用:
【想不出名字的贴子】想查看别的文件下面是否有winlogon.exe以及另2个dll文件,只能

通过IceSword?
………………

这是一个“理解”问题。
用IceSword能看到这只鸽子的木马文件,并不排除用其它工具也能看到。
有兴趣的话,你自己可以试试。
但有一点可以肯定:种了这个鸽子,没有禁止那个winlogon.dll运行之前,你用WINDOWS的资源管理器肯定看不到鸽子的文件。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 10:19 | 显示全部 短消息 资料
字号: 14楼

引用:
【zuozuo0425的贴子】【回复“baohe”的帖子】
请问SSM要怎么安装?
………………

你自己没动手装过软件?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 10:50 | 显示全部 短消息 资料
字号: 15楼

引用:
【想不出名字的贴子】如果中了鸽子,先要用SSM组织那个dll的加载,然后IceSword才能

看见那3个文件?是这样么
………………

用IceSword直接就能看到那三个文件。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 21:09 | 显示全部 短消息 资料
字号: 16楼

引用:
【gdqy75061的贴子】瑞星18.43.20扫出backdoor.gpigeon.2006.acw但不能杀啊,每次开机都会出现杀到该病毒啊!是不是灰鸽子病毒啊,但它是以.acw结尾啊!
C:\WINDOWS\winrver.exe 这是什么东西?是不是该毒文件啊?
请教斑主及各路高手,我该怎么处理啊?
谢谢~~~~~~
………………

你中的就是这只灰鸽子。只是具体的文件名与这个帖子所叙述的有所不同。查杀步骤可以参考这个帖子。
你要删除的那组文件名见附图——————

附件附件:

下载次数:296
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-11 21:09:55
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 21:11 | 显示全部 短消息 资料
字号: 17楼

回复    【gdqy75061的贴子】


你要删除的服务名:

附件附件:

下载次数:313
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-11 21:11:26
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 21:35 | 显示全部 短消息 资料
字号: 18楼

引用:
【大大大伟的贴子】http://forum.ikaka.com/topic.asp?board=28&artid=8167627

帮我看看这个问题!!
………………

已经在你那个帖子后回复
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 21:43 | 显示全部 短消息 资料
字号: 19楼

【回复“gdqy75061”的帖子】
文件问题:
删除鸽子得服务项,重启后再找。
那几个注册表键值应该删除。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-13 08:25 | 显示全部 短消息 资料
字号: 20楼

引用:
【注意安全的贴子】谢谢斑竹,学习啦!此启动项名称到底是大写还是小写?我的开机进程中就有此项。
………………

不是大小写的问题。
进程是否是正常的系统进程————看其路径。系统进程winlogon.exe的路径是C:\windows\system32\winlogon.exe(XP系统)。
WINDOWS的“任务管理器”只能看到进程名,根本看不到进程的路径。
请用IceSword或SSM一类的工具查看进程路径。
另外,中了这只鸽子后,你看不到它的进程。但是,用SSM可以看到它的服务项,所在路径为:C:\windows\winlogon.exe。
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT