用EQ拦截的日志 说明机器上有毒? (大将军的规则)
2008-08-28 09:06:53 应用程序保护已经开启.2008-08-28 09:06:53 注册表保护已经开启.
2008-08-28 09:06:53 文件保护已经开启.
2008-08-28 09:07:20 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:20 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:21 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:21 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:21 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:21 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:21 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:21 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:21 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:22 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:44 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:44 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:44 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:45 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:45 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:45 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:45 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:45 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:45 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:45 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:07:45 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:08:01 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:08:01 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:08:02 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:08:02 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:08:02 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:08:02 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:08:02 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 09:08:03 键盘记录 操作:阻止
进程路径:C:\WINDOWS\system32\logonui.exe
触发规则:所有程序规则->*
2008-08-28 11:47:33 运行应用程序 操作:阻止
进程路径:C:\WINDOWS\System32\svchost.exe
文件路径:C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
命令行:/Embedding
触发规则:所有程序规则->禁止执行的非系统程序->%windir%\* logonui.exe一般不会进行键盘记录,好像是有点问题~~ 我也用大将军的规则,从来没有出现过LZ的状况~~~[:15:]
难道中毒?
还是请高手解答吧![:03:] logonui.exe是一个系统进程,用于显示微软Windows XP系统用户切换界面
应该是注销系统产生的吧 *** 作者被禁止或删除 内容自动屏蔽 *** MS阻止这个程序的话开机以后如果你是用快速登入有输密码的话会登不进桌面,尽管你的密码是对的,但是用传统的登入就是按CRTL+ALT+DEL键则可以,至于空密码没试,LZ有兴趣可试下。 和平时一样,输入密码就进去啦。 我这里也是有这条记录。
于是我找到system32、dllcache两处的logon.exe文件作了对比,两个文件是一样的。经filehash计算的结果如下:
大小: 513024 字节
文件版本: 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
修改时间: 2004年8月17日, 12:00:00
MD5: C35F08E88FCDCC44926EC97000078BCC
SHA1: 91B34BF417E11AB9A28B2968B9D9CD5371BEEF89
CRC32: D9A5524F
为防万一,我又将电脑疯子版安装盘里的logonui.ex_解压出来对比了一下,仍然是一样的。
结论,这个logonui.exe文件本身并未被修改。
往坏处想,还有可能是它在EQ之前就已被插入线程,但这一点我没有想出办法来证实。
乐观一些想,或许仅仅是因为用tweakui设置了自动登录,logonui记录键盘是正常的。我暂时是把这个动作写了允许的规则。 键盘记录,允许。 那个是系统开机时候有的那个输入用户名和密码的吧 如果是的话 那被EQ拦了也无所谓 如果不是系统的那个开机的 就是病毒了
页:
[1]