【問題】煩請高手幫我看看XP的System出了什麼問題...



贊助商連結


頁 : [1] 2 3

大灰芒果
2008-03-10, 11:35 PM
狀況:
X1. (刪除)
2. Windows XP system的svchost.exe常常(嚴格說起來是偶爾)會出現從美國的某IP下載資料的情形.14998:jump2:
X3. (刪除)
(更正: sp??.sys就是sptd.sys, 是DAEMON tools的一部份, 已解決)

我的PC系統:
Windows XP pro SP2
Windows Defender 1.1防惡意程式(微軟的)
AntiVIR PE v7+ AVG v7.5雙防毒, AntiVIR常駐, 無效(非商用免費版防毒)
COMODO Firewall pro 3(非商用免費版防火牆)
SeedNet撥接式ADSL上網, 搭載cFosSpeed v4.06
+PeerGuardian 2(IP防火牆)

該程式所連接的美國IP資料:
OrgName: Level 3 Communications, Inc.
OrgID: LVLT
Address: 1025 Eldorado Blvd.
City: Broomfield
StateProv: CO
PostalCode: 80021
Country: US

NetRange: 205.128.0.0 - 205.131.255.255
CIDR: 205.128.0.0/14
NetName: LVLT-ORG-205-128
NetHandle: NET-205-128-0-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.LEVEL3.NET
NameServer: NS2.LEVEL3.NET
Comment:
RegDate:
Updated: 2004-06-04

OrgAbuseHandle: APL8-ARIN
OrgAbuseName: Abuse POC LVLT
OrgAbusePhone: +1-877-453-8353
OrgAbuseEmail: abuse@level3.com

OrgTechHandle: ARINC4-ARIN
OrgTechName: ARIN Contact
OrgTechPhone: +1-800-436-8489
OrgTechEmail: arin-contact@genuity.com

OrgTechHandle: TPL1-ARIN
OrgTechName: Tech POC LVLT
OrgTechPhone: +1-877-453-8353
OrgTechEmail: ipaddressing@level3.com

# ARIN WHOIS database, last updated 2008-03-08 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

********************************************************************************

贊助商連結


billyao
2008-03-11, 12:27 AM
1.可能被人植入了木馬或蠕蟲
2.該木馬或蠕蟲,spur應是假名稱,要找第一個源頭的程式,
也就是連接那個網站的程式,只是這不容易找....
3.檢查註冊機碼啟動部份的內容值
4.找hijackthis或sysbot程式偵測看看
5.找process explorer 程式偵測看看
6.回想看看,最近安裝了那些程式或上那些程式?

以上大概就這樣了,如果沒辦法的話,
就用windows 防火牆把那個程式或通訊埠或ip給暫時封了吧...

大灰芒果
2008-03-11, 08:47 PM
1.可能被人植入了木馬或蠕蟲
2.該木馬或蠕蟲,spur應是假名稱,要找第一個源頭的程式,
也就是連接那個網站的程式,只是這不容易找....
3.檢查註冊機碼啟動部份的內容值
4.找hijackthis或sysbot程式偵測看看
5.找process explorer 程式偵測看看
6.回想看看,最近安裝了那些程式或上那些程式?

以上大概就這樣了,如果沒辦法的話,
就用windows 防火牆把那個程式或通訊埠或ip給暫時封了吧...

謝謝, X (刪除)
PS. 我有在用eMule跟BT.

已用過AutoRuns, HijackThis, 但找不到異狀, 這是剛剛用RootKit Revealer 1.71掃瞄的結果…14999
(最後兩行是Process Explorer, AVG是防毒, sptd是DAEMON tools的驅動程式, SAC*跟SAI*是我灌完XP就有的, 我也不知道是甚麼)

另外, 它是透過svchost.exe(更正: cports顯示其程式名稱為XP系統服務之一)對外連線, 平時無法發現, 只會偶爾對網路有動作(就是這樣我才能透過cFosSpeed的監視視窗發現), 所以到現在我還是找不到它(用RootKit Revealer 1.71作全系統掃瞄也沒發現), 好像已經嵌入XP的系統核心了...:eye:

(刪除)

billyao
2008-03-12, 04:17 AM
嗯嗯~
看了圖片之後,感覺上應該是倒數第三個,那隻程式有問題....
也許是蠕蟲躲在Perflib_Perfdata.dat裡面,試著刪除看看!
如果不是的話,試著將掃描器驅動程式、eMule跟BT 移除看看,
至於SAC跟SAI,依照機碼,我XP沒有這個東西,
所以沒辦法得知,這是什麼咚咚...

另外,要注意.PF檔案,它是預讀檔,在開啟程式時留下的記錄,以方便下次開啟時可以更快速啟動,所以可能要稍微檢查一下。

以下是參考資料

http://ks.cn.yahoo.com/question/1306071805141.html

http://www.pingku.com/question/35193727.html?fr=qrl3

http://www.isacn.org/bbs/lofi.php?t23293.html

perfdata, perflib, worm
http://www.experts-exchange.com/Security/Misc/Q_21162014.html

pcboy
2008-03-12, 08:57 AM
> 我用RootkitUnhooker發現了不明程式(spur.sys), 不過在工作管理員跟硬碟裡都找不到它, 有沒有人可以幫我, 或是有興趣研究, 我一定會配合, 謝

請問您有將隱藏檔案全部顯示嗎 ?

檔案總管 / 工具-下拉選單 / 資料夾選項, 檢視 標籤
隱藏保護的作業系統檔案 <= 打勾取消

不顯示隱藏的檔案和資料夾 <= 改選 "顯示所有檔案和資料夾"

大灰芒果
2008-03-12, 11:28 PM
> 我用RootkitUnhooker發現了不明程式(spur.sys), 不過在工作管理員跟硬碟裡都找不到它, 有沒有人可以幫我, 或是有興趣研究, 我一定會配合, 謝

請問您有將隱藏檔案全部顯示嗎 ?

檔案總管 / 工具-下拉選單 / 資料夾選項, 檢視 標籤
隱藏保護的作業系統檔案 <= 打勾取消

不顯示隱藏的檔案和資料夾 <= 改選 "顯示所有檔案和資料夾"

:o 謝謝您提醒!我沒有顯示全部的隱藏檔案,不過就算是開了也找不到,因為那支sp??.sys其實就是sptd.sys的分身,不是木馬程式。

琥珀
2008-03-12, 11:43 PM
sc query type= driver > list.txt

大灰芒果
2008-03-12, 11:43 PM
嗯嗯~
看了圖片之後,感覺上應該是倒數第三個,那隻程式有問題....
也許是蠕蟲躲在Perflib_Perfdata.dat裡面,試著刪除看看!
如果不是的話,試著將掃描器驅動程式、eMule跟BT 移除看看,
至於SAC跟SAI,依照機碼,我XP沒有這個東西,
所以沒辦法得知,這是什麼咚咚...

另外,要注意.PF檔案,它是預讀檔,在開啟程式時留下的記錄,以方便下次開啟時可以更快速啟動,所以可能要稍微檢查一下。

以下是參考資料

http://ks.cn.yahoo.com/question/1306071805141.html

http://www.pingku.com/question/35193727.html?fr=qrl3

http://www.isacn.org/bbs/lofi.php?t23293.html

perfdata, perflib, worm
http://www.experts-exchange.com/Security/Misc/Q_21162014.html

感謝您的豐富資料,在我把DAEMON tools 4.11.2 lite跟PeerGuardian 2 Alpha Builds(051118)移除以後,那個sp??.sys(sptd.sys)跟perflib_perfdata_a10.dat已經消失。

X (刪除)

15005

15006

15007

PS. 說實話,我很想用RootkitUnhooker把那些掛鉤通通幹掉,但上次我這麼做的結果是得重灌系統…

大灰芒果
2008-03-12, 11:52 PM
sc query type= driver > list.txt

謝謝,附上剛好1000行的list.txt以供參考…15008:rolleyes:

billyao
2008-03-13, 12:40 PM
感謝您的豐富資料,在我把DAEMON tools 4.11.2 lite跟PeerGuardian 2 Alpha Builds(051118)移除以後,那個sp??.sys(sptd.sys)跟perflib_perfdata_a10.dat已經消失。

現在的問題是FireFox 2.0.0.12會自動監聽一組相近的兩個ports(會變動),還有Windows Media Player 11突然不能播放WMA檔案(更正:已修復),但可以放MP3(問題真是多啊…:|||: );附上最新的截圖以供參考:15004

15005

15006

15007

PS. 說實話,我很想用RootkitUnhooker把那些掛鉤通通幹掉,但上次我這麼做的結果是得重灌系統…

從您的圖來看,感覺好像沒什麼大問題....

第一張圖,firefox 連接2個埠,一個是1432、另一個是1430,前者為blueberry-lm 即Blueberry Software License Manager,後者為tpdu,即Hypercom TPDU,而Tpdu 是 Transport Protocol Data Unit。這兩個應該問題不大,應該是 cFosSpeed 所使用,非其他木馬軟體常駐,因為圖中的傳輸速率是0,請問您有裝手持式機器連線軟體嗎?或其他的行動裝置驅動程式所使用。

不知道,您是否有檢視系統日誌,看看是否有異常或可疑的資料?

另外,在你的LIST檔案裡面,有Remote Access Auto Connection Driver、Remote Access PPPOE Driver、PptpMiniport,請問您有使用VPN嗎?或著你的ADSL網路是撥接式,同時是直接接到您電腦的網路卡,是這樣嗎?如果不是或沒有的話,這些服務都可以直接關閉。

看起來,你的電腦似乎沒多大問題,整體執行速度應該沒有變慢吧!不過,您如果還是很擔心的話,要找出問題,不怕麻煩的話,要抽絲剝繭,漸漸地把電腦環境回歸到最單純,應該可以找到問題的徵結點,也許您可以這樣做...

1.移除 cFosSpeed ,檢測結果
2.移除 Firefox,檢測結果
3.執行IE,檢測結果

如果 Firefox 會出現那兩個連接埠的資訊,而IE沒有出現的話,那你就要檢查一下Firefox 的外掛或內嵌程式,因為有時候逛一些怪怪的網站,會偷偷幫您安裝至網頁瀏覽器裡面....

4.建議改變ADSL連接方式,選購一台良好的IP分享器,啟動該分享器內的硬體撥接設定,以NAT連線方式,將網路連接至您的電腦,可能會好一些,當然您電腦內的防毒軟體或防木馬軟體,也不可以少,這樣會安全些。

希望以上對您有所幫助...