billyao
2008-03-13, 12:47 PM
sc query type= driver > list.txt
玩到SC了,厲害~:lovely:
贊助商連結
玩到SC了,厲害~:lovely:
贊助商連結
|
【問題】煩請高手幫我看看XP的System出了什麼問題... 贊助商連結 billyao 2008-03-13, 12:47 PM sc query type= driver > list.txt 玩到SC了,厲害~:lovely: 贊助商連結 大灰芒果 2008-03-13, 09:43 PM 從您的圖來看,感覺好像沒什麼大問題.... 第一張圖,firefox 連接2個埠,一個是1432、另一個是1430,前者為blueberry-lm 即Blueberry Software License Manager,後者為tpdu,即Hypercom TPDU,而Tpdu 是 Transport Protocol Data Unit。這兩個應該問題不大,應該是 cFosSpeed 所使用,非其他木馬軟體常駐,因為圖中的傳輸速率是0,請問您有裝手持式機器連線軟體嗎?或其他的行動裝置驅動程式所使用。 不知道,您是否有檢視系統日誌,看看是否有異常或可疑的資料? 另外,在你的LIST檔案裡面,有Remote Access Auto Connection Driver、Remote Access PPPOE Driver、PptpMiniport,請問您有使用VPN嗎?或著你的ADSL網路是撥接式,同時是直接接到您電腦的網路卡,是這樣嗎?如果不是或沒有的話,這些服務都可以直接關閉。 看起來,你的電腦似乎沒多大問題,整體執行速度應該沒有變慢吧!不過,您如果還是很擔心的話,要找出問題,不怕麻煩的話,要抽絲剝繭,漸漸地把電腦環境回歸到最單純,應該可以找到問題的徵結點,也許您可以這樣做... 1.移除 cFosSpeed ,檢測結果 2.移除 Firefox,檢測結果 3.執行IE,檢測結果 如果 Firefox 會出現那兩個連接埠的資訊,而IE沒有出現的話,那你就要檢查一下Firefox 的外掛或內嵌程式,因為有時候逛一些怪怪的網站,會偷偷幫您安裝至網頁瀏覽器裡面.... 4.建議改變ADSL連接方式,選購一台良好的IP分享器,啟動該分享器內的硬體撥接設定,以NAT連線方式,將網路連接至您的電腦,可能會好一些,當然您電腦內的防毒軟體或防木馬軟體,也不可以少,這樣會安全些。 希望以上對您有所幫助... Billy大,我沒有用手機或任何裝置連線,也沒有使用VPN,這只是一部個人家庭用舊電腦,也沒用IP分享器… 我用的是中華電信給的ALCATEL T07A ADSL MODEM,為了安全性,故意使用撥接的方式連接ADSL,而不用DHCP。 小弟檢測系統日誌的結果,只有發現一個奇怪的部分,其它問題都已被我解決,異常的部分是在應用程式:Windows Defender 即時保護代理程式發生錯誤而且無法啟動。(但事實上它有常駐在記憶體,從工作管理員內可以看到)1501315014 X (刪除) 大灰芒果 2008-03-14, 12:02 AM 補上最近也最簡短的執行中服務列表跟HijackThis的記錄檔,我會照Billy大說的把FireFox跟其他第三方軟體一個個移除再重裝+檢查,謝謝。 15017 15018 大灰芒果 2008-03-15, 01:00 PM 再補上XP系統安全性設定異常部分…(我不清楚這是正常還是異常,因為我查過別人PC的XP內沒有這些東西,而我的XP pro SP2則是安裝完就有了…) PS. 我沒有安裝/試用/使用任何伺服器產品,也沒有在設計資料庫程式,既然各位大大都花時間看了,就麻煩再大發慈悲地幫我看看。:D 15030 15031 15032 補上完整的可遠端存取登錄路徑內容… System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Control\Server Applications System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration 大灰芒果 2008-03-15, 02:49 PM 抓到了!MSN messenger 8.1自動向Level3.com的80埠通訊!(圖3) 跟之前抓到的svchost.exe程式一樣,都是連向level3.com,只不過svchost.exe是進(並自動下載了1MB以上的資料量), msnmsgr.exe卻是出, 共通點是兩個Class D IP號碼都是124(205.128.70.124跟199.93.58.124)。 這應該不是微軟的自動更新機制吧… 我並沒有開啟自動下載安裝的設定(圖1),而svchost.exe下載資料時也沒有開啟MSN(請看圖2),這到底是什麼情形?是微軟的程式在作怪嗎?:( 請參考附圖: 15035 15033 15034 pcboy 2008-03-15, 05:20 PM 很多後門是掛給 svchost.exe 中啟動 去下載這個程式, 看看 svchost 啟動了哪些程式 http://technet.microsoft.com/zh-tw/sysinternals/bb896653(en-us).aspx 大灰芒果 2008-03-17, 09:33 PM 很多後門是掛給 svchost.exe 中啟動 去下載這個程式, 看看 svchost 啟動了哪些程式 http://technet.microsoft.com/zh-tw/sysinternals/bb896653(en-us).aspx 我剛好又當場"抓到了"這個svchost.exe(PID: 1588)在下載資料(共14.xxMB)… 從表面上來看是很正常,要深入研究的話已經在我的能力範圍之外了… 附圖+cports+process explorer抓到的資料。 15045 15046 15047 大灰芒果 2008-03-17, 10:27 PM 更正:關於之前提到FireFox會自動開啟監聽埠的情形是屬於正常現象,我已經查到相關資料了。:D 有興趣的話請參考: [求救]我的Firefox會自動開啟一對TCP監聽埠 (http://forum.moztw.org/viewtopic.php?t=21934) 大灰芒果 2008-03-18, 10:23 PM 還有一個比較特殊的地方是系統會不定時自動出現一個資料夾,就在我上一次安裝XP的硬碟分割區,而且還是在上一個XP的系統管理員權限帳號下,把它刪掉還會不定時自動出現,附圖。(我上次安裝在G:, 帳號ID是fc) 15049 PS. 附上 SREng 2.5 的掃描記錄檔。(建議可以省略其中HOSTS 文件的部份) 15050 warzero 2008-03-19, 01:22 AM 看了樓主所提供的報告,其實真的沒有什麼問題,也沒有可疑的 exe、dll 常駐程式。 然後稍微調查了 Level 3 Communications。 這不是什麼可疑網站,而是大部分ISP最大的 backbone network 之一。 加上 MSN Messenger 有跟 Level 3 合作,用其下 VOIP 服務,提供更佳的音質。對於連結去 Level 3 應該可以放心。 http://en.wikipedia.org/wiki/Level3 http://www.level3.com/newsroom/pressreleases/2005/20050503.html http://news.softpedia.com/news/MSN-Messenger-hears-and-sees-better-1621.shtml 然後關於 RootkitRevealer 找到的 SAC* SAI* 是正常現象,基本上不必太擔心。 http://forum.sysinternals.com/forum_posts.asp?TID=8882 至於那個 SecuROM 也是正常,基本上有玩遊戲的人應該對這個有認識了。 SecuROM 是光碟保護機制,只要當初用過有此保護的光碟,系統就會強行寫入隱藏碼。 雖然並不會帶來什麼害處,不喜歡被寫入的話可以用相關工具來移除掉。 http://en.wikipedia.org/wiki/SecuROM 還有樓主安裝5、6個以上的保安程式,可能是這個問題導致你的 Windows Defenders 無法正常啟動。 裝數個保安程式不代表會越安全,如果使用不當中毒的幾率還是很大。且開啟太多實時監控程式,只會讓系統更不穩定、佔資源、拖慢處理器。 建議保留一個防毒軟體和一個防火墻就好。最重要還是培養良好的使用習慣,這才是最佳保護系統的方法。 |
|
|