名侦探柯南事务所

标题: WINLOGON.EXE是个什么什么？ [打印本页]

---

作者: 双一姐姐    时间: 2006-8-20 20:33
标题: WINLOGON.EXE是个什么什么？
我现在游戏玩不起来 启动的时候就显示WINLOGON.EXE在运行，游戏无法进行。

我用杀毒软件杀的MS米反映的说，我手动去删除却删除不了。

斑竹帮看下哈，还有我用hijackthis如下的结果


Logfile of HijackThis v1.99.1
Scan saved at 20:28:05, on 2006-8-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\WinServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\Server.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\system32\wsetup.exe
F:\TT\TTraveler.exe
C:\WINDOWS\system32\winmer.exe
C:\DOCUME~1\cb\LOCALS~1\Temp\4.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\cb\LOCALS~1\Temp\oprar.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\Rundll32.exe
D:\HijackThis.exe
C:\WINDOWS\WINLOGON.EXE
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: internet explorer helper - {02C9B9AB-6372-46C5-B356-773FAF3B6B1E} - C:\WINDOWS\fonts\msshapi.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\海豚QQ\htworkroom\QQIEHelper.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\迅雷\ComDlls\XunLeiBHO_002.dll
O2 - BHO: (no name) - {8D139DD1-6BB5-4103-8C89-41560FF2E107} - C:\WINDOWS\system32\3721_5.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O3 - Toolbar: (no name) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\system32\autorun.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [StormCodec_Helper] "D:\暴风\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [WinSever] C:\WINDOWS\system32\WinServer.exe
O4 - HKLM\..\Run: [intranet] C:\WINDOWS\system32\intranet.exe
O4 - HKLM\..\Run: [Systems32] C:\WINDOWS\system32\Server.exe
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\新建文件夹 (2)\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\新建文件夹 (2)\SendMMS.htm
O9 - Extra button: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\迅雷\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\迅雷\Thunder.exe
O9 - Extra button: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)

---

作者: rockwei    时间: 2006-8-20 20:41
标题: 回复: WINLOGON.EXE是个什么什么？
在任务管理器中，该程序的用户名应属于system。。。
是一个必要的常驻程序。。。

---

作者: xiaobin    时间: 2006-8-20 20:58
标题: 回复: WINLOGON.EXE是个什么什么？
如果这个进程有两个，另外一个的用户名不是某R说的那个……估计应该是专盗传奇号的木马“落雪”了，我网友曾经中过，瑞星被废掉了……

---

作者: 双一姐姐    时间: 2006-8-20 21:09
标题: 回复: WINLOGON.EXE是个什么什么？
是木马  怎么办？

---

作者: cc9007    时间: 2006-8-20 21:38
标题: 回复: WINLOGON.EXE是个什么什么？
winlogon - winlogon.exe - 进程信息


winlogon - winlogon.exe - 进程信息

进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
常见错误: N/A
是否为系统进程: 是

---

作者: 双一姐姐    时间: 2006-8-20 21:50
标题: 回复: WINLOGON.EXE是个什么什么？
[quote=cc9007]winlogon - winlogon.exe - 进程信息


winlogon - winlogon.exe - 进程信息

进程文件: winlogon or ...[/quote]

是个木马呀 反正不是那个正常的winlogon，他阻止我玩跑跑卡丁车


而且我电脑现在变得神经西西的 开机狂慢无比  反正现在极度不怎么正常啊

---

作者: xiaobin    时间: 2006-8-20 21:54
标题: 回复: WINLOGON.EXE是个什么什么？
重装吧……当初我网友就是这样解决的……而且，她中了之后，连QQ也不敢上……

---

作者: cc9007    时间: 2006-8-20 21:54
标题: 回复: WINLOGON.EXE是个什么什么？
经cc分析，您的电脑中了VIPTray.exe

VIPTray.exe简单分析

论坛里面看见很多人电脑上中了VipTray.exe，
网友给我们发来了样本文件， 非常感谢。


然后我反运行后， 监视文件和注册表， 发现没什么反应。

后来反汇编， 分析， 发现这个VipTray.exe 会从
[U]http://ulink4,dudu,com/setup/iebar,exe[/U]

下载一个iebar.exe, 并让用户安装。

而这个里面捆绑了后门。




安装完iebar.exe会修改注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

修改键值system 为 C:\WINNT\system32\friendly.exe ZNKwcxv=

创建BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

DLL名称为 WinDefendor.dll

同时 VipTray 会注册成系统服务。

服务描述为:
提供基于 Internet explorer 的网络内容。如果此服务被终止，将会失去这些功能和内容。如果此服务被禁用，其他依赖此服务的网络内容将无法正常运行。


生成的文件有：

c:\WINNT\system32\VIPTray.exe
c:\WINNT\system32\WinDefendor.dll
c:\WINNT\system32\friendly.exe
或:C:\WINDOWS\system32\VIPTray.exe
C:\WINDOWS\system32\WinDefendor.dll
C:\WINDOWS\system32\friendly.exe



清除方法：
使用安全重启， 然后删除掉这三个文件，就可以了。


VIPTray专杀工具.rar

http://pickup.mofile.com/9369331903736242

---

作者: 双一姐姐    时间: 2006-8-20 21:56
标题: 回复: WINLOGON.EXE是个什么什么？
[quote=xiaobin]重装吧……当初我网友就是这样解决的……而且，她中了之后，连QQ也不敢上……[/quote]

我正在上QQ呢 为不能上QQ啊

---

作者: 双一姐姐    时间: 2006-8-20 21:57
标题: 回复: WINLOGON.EXE是个什么什么？
[quote=cc9007]经cc分析，您的电脑中了VIPTray.exe

VIPTray.exe简单分析

论坛里面看见很多人电脑上中了VipTray.exe，
网友给我们发来了样本文件， 非常感谢。


然后我反运行后， 监视文件和注册表， 发现没什么反应。

后来反汇编， 分析， 发现这个VipTra...[/quote]

我又完全没看懂

---

作者: cc9007    时间: 2006-8-20 21:58
标题: 回复: WINLOGON.EXE是个什么什么？
至于winlogon.exe这个我没有分析，因为Hijackthis描述的不完整

---

作者: cc9007    时间: 2006-8-20 22:00
标题: 回复: WINLOGON.EXE是个什么什么？
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [StormCodec_Helper] "D:\暴风\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [WinSever] C:\WINDOWS\system32\WinServer.exe
O4 - HKLM\..\Run: [intranet] C:\WINDOWS\system32\intranet.exe
O4 - HKLM\..\Run: [Systems32] C:\WINDOWS\system32\Server.exe
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm


这个就是导致你启动速度慢的原因

---

作者: 双一姐姐    时间: 2006-8-20 22:01
标题: 回复: WINLOGON.EXE是个什么什么？
我越发的郁闷了  怎么办呀 又要重装  很烦人

---

作者: xiaobin    时间: 2006-8-20 22:04
标题: 回复: WINLOGON.EXE是个什么什么？
打开任务管理器，这两个winlogon.exe的用户名分别是什么？

---

作者: cc9007    时间: 2006-8-20 22:09
标题: 回复: WINLOGON.EXE是个什么什么？
xiaobin  其实看进程的PID比看用户名好，真的winlogon会在假的前面启动，所以真的PID的数字会比假的小，还有，系统的PID的数值不会太大。

---

作者: rockwei    时间: 2006-8-20 22:13
标题: 回复: WINLOGON.EXE是个什么什么？
下载RogueCleaner软件
里面可杀那个IE-bar及多种恶意程序。。。

---

作者: 双一姐姐    时间: 2006-8-20 22:14
标题: 回复: WINLOGON.EXE是个什么什么？
da xie de shi wo zi ji de ming zi
xiao xie de shi xi tong
wo xian zai da zi da bu qi lai
wang ye kai bu qi lai
wo xia le
  gu ji yi ding yao zhuang xi tong le

---

作者: 双一姐姐    时间: 2006-8-20 22:17
标题: 回复: WINLOGON.EXE是个什么什么？
[quote=rockwei]下载RogueCleaner软件
里面可杀那个IE-bar及多种恶意程序。。。[/quote]mei you yong
xian zai wen ti da le

---

作者: rockwei    时间: 2006-8-20 22:19
标题: 回复: WINLOGON.EXE是个什么什么？
连汉字没得玩了。。。。

---

作者: xiaobin    时间: 2006-8-20 22:24
标题: 回复: WINLOGON.EXE是个什么什么？
[quote=cc9007]xiaobin 其实看进程的PID比看用户名好，真的winlogon会在假的前面启动，所以真的PID的数字会比假的小，还有，系统的PID的数值不会太大。[/quote]

:016: 我只是认定用户名非system的winlogon大概就是木马了……

---

作者: 8884361    时间: 2006-8-20 22:26
标题: 回复: WINLOGON.EXE是个什么什么？
C:\WINDOWS\system32\WinServer.exe
C:\WINDOWS\system32\Server.exe
C:\WINDOWS\system32\wsetup.exe
C:\WINDOWS\system32\winmer.exe
C:\DOCUME~1\cb\LOCALS~1\Temp\4.exe
C:\DOCUME~1\cb\LOCALS~1\Temp\oprar.exe
C:\WINDOWS\WINLOGON.EXE
比較懷疑的咚咚........

此為正常的Winlogon：
File Name: winlogon.exe
Display Name: Microsoft(R) Windows(R) Operating System
Description: Windows NT Logon Application
Publisher: Microsoft Corporation
Digitally Signed By: Microsoft Windows Verification Intermediate PCA
File Type: 应用程序
Auto Start: No
File Path: C:\WINDOWS\system32\winlogon.exe
File Size: 487424 Bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Date Installed: 2004-8-17 20:00:00
Process ID: 548
User Name: NT AUTHORITY\SYSTEM
Classification: In Progress
Ships with Operating System: Yes

---

作者: 8884361    时间: 2006-8-20 22:28
标题: 回复: WINLOGON.EXE是个什么什么？
還有這個比較懷疑的：C:\Program Files\Common Files\IE-Bar\iebar.exe

---

作者: rockwei    时间: 2006-8-20 22:32
标题: 回复: WINLOGON.EXE是个什么什么？
那个，楼主先可以找几个木马的专杀工具，然后在安全模式下杀毒。。。
找到一个江民的对应专杀，，[U]http://www.jiangmin.com/download/TrojanKiller.exe[/U]

---

作者: 8884361    时间: 2006-8-20 22:33
标题: 回复: WINLOGON.EXE是个什么什么？
IE-Bar自身自帶了卸載程式...........

---

作者: rockwei    时间: 2006-8-20 22:33
标题: 回复: WINLOGON.EXE是个什么什么？
[quote=8884361]還有這個比較懷疑的：C:\Program Files\Common Files\IE-Bar\iebar.exe[/quote]

那个就是个流氓软件。。。

---

作者: xiaobin    时间: 2006-8-20 22:34
标题: 回复: WINLOGON.EXE是个什么什么？
流氓软件的话，超级兔子可以解决……落雪的话，不想重装要么去请教高手……

---

作者: rockwei    时间: 2006-8-20 22:36
标题: 回复: WINLOGON.EXE是个什么什么？
上面给出的链接就是江民出的专杀工具。。。

---

作者: 8884361    时间: 2006-8-20 22:37
标题: 回复: WINLOGON.EXE是个什么什么？
试一试这个吧：
http://www.microsoft.com/china/s ... remove/default.mspx
能查以下病毒：
Win32/Alcan
Win32/Alemod
Win32/Antinny
Win32/Atak
Win32/Badtrans
Win32/Bagle
Win32/Bagz
Win32/Banker
Win32/Berbew
Win32/Bobax
Win32/Bofra
Win32/Bropia
Win32/Bugbear
Win32/Chir
Win32/Cissi
Win32/Codbot
Win32/Doomjuice
Win32/Dumaru
Win32/Esbot
Win32/Evaman
Win32/Eyeveg
Win32/Fizzer
Win32/Gael
Win32/Ganda
Win32/Gaobot
Win32/Gibe
Win32/Goweh
Win32/Hackdef
Win32/Hacty
Win32/Hupigon
Win32/IRCbot
Win32/Jeefo
Win32/Kelvir
Win32/Korgo
Win32/Locksky
Win32/Lovgate
Win32/Mabutu
Win32/Magistr
Win32/Maslan
Win32/Mimail
Win32/Msblast
Win32/Mydoom
Win32/Mytob
Win32/Mywife
Win32/Nachi
Win32/Netsky
Win32/Nsag
Win32/Opaserv
Win32/Optix
Win32/Optixpro
Win32/Parite
Win32/Plexus
Win32/Purstiu
Win32/Randex
Win32/Rbot
Win32/Reatle
Win32/Ryknos
Win32/Sasser
Win32/Sdbot
Win32/Sober
Win32/Sobig
Win32/Spybot
Win32/Spyboter
Win32/Swen
Win32/Torvil
Win32/Valla
Win32/Wootbot
Win32/Wukill
Win32/Yaha
Win32/Zafi
Win32/Zindos
Win32/Zlob
Win32/Zotob
WinNT/F4IRootkit
WinNT/FURootkit
WinNT/Ispro

---

作者: 双一姐姐    时间: 2006-8-20 22:46
标题: 回复: WINLOGON.EXE是个什么什么？
我先按你们的n种方法杀一下吧  然后再过来问问

还有就是那个落雪不是盗传奇的吗  我又不玩传奇  为什么会有？

---

作者: 8884361    时间: 2006-8-20 22:50
标题: 回复: WINLOGON.EXE是个什么什么？
[QUOTE=双一姐姐]我先按你们的n种方法杀一下吧  然后再过来问问

还有就是那个落雪不是盗传奇的吗  我又不玩传奇  为什么会有？[/QUOTE]

那我不上網的.......難道我就不會中毒嗎？？？

---

作者: JayZ    时间: 2006-8-20 22:55
标题: 回复: WINLOGON.EXE是个什么什么？
LZ是的机器是多种恶意程序齐聚。
按照上面的人解决方法慢慢杀。

---

作者: 8884361    时间: 2006-8-20 23:00
标题: 回复: WINLOGON.EXE是个什么什么？
[QUOTE=JayZ]LZ是的机器是多种恶意程序齐聚。
按照上面的人解决方法慢慢杀。[/QUOTE]
找病毒樣本上她機器找就行了...........:037: :037: :037: :037: :037: :037: :037:

---

作者: 双一姐姐    时间: 2006-8-21 00:43
标题: 回复: WINLOGON.EXE是个什么什么？
重装系统回来

哎  为什么一夜之间电脑就突然中了那么多

唉唉唉.................

---

作者: JayZ    时间: 2006-8-21 01:25
标题: 回复: WINLOGON.EXE是个什么什么？
说明你比较受关注……

---

作者: xiaobin    时间: 2006-8-21 09:38
标题: 回复: WINLOGON.EXE是个什么什么？
[quote=双一姐姐]重装系统回来

哎 为什么一夜之间电脑就突然中了那么多

唉唉唉.................[/quote]

:016: 我想是你平时不注意而累积起来的吧……平时多注意定时杀毒，清理一下某些软件……

---

作者: JayZ    时间: 2006-8-21 17:27
标题: 回复: WINLOGON.EXE是个什么什么？
还有每个月第二个星期的星期三到微软windows update去安装系统补丁。

---

作者: XL detective    时间: 2006-8-22 02:40
标题: 回复: WINLOGON.EXE是个什么什么？
今天刚刚杀毒杀出这个，不懂是不是系统的文件，但是MS狂占用CPU,估计是病毒

---

作者: JayZ    时间: 2006-8-22 10:20
标题: 回复: WINLOGON.EXE是个什么什么？
显然是病毒……

---

作者: XL detective    时间: 2006-8-22 16:22
标题: 回复: WINLOGON.EXE是个什么什么？
早时候我也杀出46个病毒，和LZ有的比了...............

原来开机慢是因为IEBAR啊，就觉的每次进入都很快，就开始栏慢的跟乌龟似的...............

再问一个cmd这个进程是什么东东，一出来就占CPU

---

作者: 8884361    时间: 2006-8-22 17:45
标题: 回复: WINLOGON.EXE是个什么什么？
正常的CMD是个控制台来的.......中文叫命令提示符.....类似于DOS......可是我前一段时间帮人维修时发现......有病毒冒用这个名称.........

---

作者: XL detective    时间: 2006-8-22 19:08
标题: 回复: WINLOGON.EXE是个什么什么？
有的时候都会出现两个Cmd,每个进程都占用30左右的CPU,然后电脑就狂卡，关掉进程后就可以了，杀毒也杀不出来，请问该怎么办呢?

---

作者: xiaobin    时间: 2006-8-22 20:17
标题: 回复: WINLOGON.EXE是个什么什么？
安全模式下杀杀看……

---

作者: JayZ    时间: 2006-8-22 23:28
标题: 回复: WINLOGON.EXE是个什么什么？
既然两个CMD ，肯定是病毒了。

---

作者: XL detective    时间: 2006-8-23 00:45
标题: 回复: WINLOGON.EXE是个什么什么？
我有在系统的文件夹system32下面看到这个文件，能够删除文件么????

又:030: :030:
发现每次杀毒都能杀出这个病毒

Services.exe这个文件每次都被感染，目录是Windows\system32\services.exe,病毒名是Trojan.PSW.QQgame.v
是魔鬼么，我下载的是这里提供的MS的官方网站的补丁,但是安装后没有在添加删除里面显示有这个补丁??所以我也不懂到底有没有安装成功，为什么每次杀完又会被感染呢:014:

---

作者: 8884361    时间: 2006-8-23 10:00
标题: 回复: WINLOGON.EXE是个什么什么？
从名字上看：Trojan.PSW.QQgame.v       应该是一个盗取QQ游戏帐号的木马...小心你的QQ号码和Q币............

---

作者: 8884361    时间: 2006-8-23 10:03
标题: 回复: WINLOGON.EXE是个什么什么？
正常时CMD的资料：
File Name: cmd.exe
Display Name: Microsoft(R) Windows(R) Operating System
Description: Windows Command Processor
Publisher: Microsoft Corporation
Digitally Signed By: Microsoft Windows Verification Intermediate PCA
File Type: 应用程序
Auto Start: No
File Path: C:\WINDOWS\system32\cmd.exe
File Size: 470528 Bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Date Installed: 2004-8-17 20:00:00
Process ID: 2460
User Name: HOME\Administrator
Classification: In Progress
Ships with Operating System: Yes

正常时services.exe的资料：
File Name: services.exe
Display Name: Microsoft(R) Windows(R) Operating System
Description: Services and Controller app
Publisher: Microsoft Corporation
Digitally Signed By: Microsoft Windows Verification Intermediate PCA
File Type: 应用程序
Auto Start: No
File Path: C:\WINDOWS\system32\services.exe
File Size: 108032 Bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Date Installed: 2004-8-17 20:00:00
Process ID: 596
User Name: NT AUTHORITY\SYSTEM
Services: Event Log, Plug and Play
Classification: In Progress
Ships with Operating System: Yes

---

作者: XL detective    时间: 2006-8-23 13:33
标题: 回复: WINLOGON.EXE是个什么什么？
每次登陆杀毒的时候都是会在内存中杀出services.exe被感染病毒

---

作者: JayZ    时间: 2006-8-23 18:34
标题: 回复: WINLOGON.EXE是个什么什么？
有恢复程序啊……

---

作者: XL detective    时间: 2006-8-24 09:35
标题: 回复: WINLOGON.EXE是个什么什么？
是什么恢复程序啊?

---

作者: 8884361    时间: 2006-8-24 14:50
标题: 回复: WINLOGON.EXE是个什么什么？
[quote=JayZ]有恢复程序啊……[/quote]
我也聼不明？？？？Ghost嗎？〉〉〉

---

欢迎光临 名侦探柯南事务所 (https://bbs.aptx.cn/)

Powered by Discuz! X2.5