【問題】煩請高手幫我看看XP的System出了什麼問題...

**大灰芒果** · 2008-03-10, 11:35 PM

狀況:
X1. (刪除)
2. Windows XP system的svchost.exe常常(嚴格說起來是偶爾)會出現從美國的某IP下載資料的情形.

X3. (刪除)
(更正: sp??.sys就是sptd.sys, 是DAEMON tools的一部份, 已解決)

我的PC系統:
Windows XP pro SP2
Windows Defender 1.1防惡意程式(微軟的)
AntiVIR PE v7+ AVG v7.5雙防毒, AntiVIR常駐, 無效(非商用免費版防毒)
COMODO Firewall pro 3(非商用免費版防火牆)
SeedNet撥接式ADSL上網, 搭載cFosSpeed v4.06
+PeerGuardian 2(IP防火牆)

該程式所連接的美國IP資料:
OrgName: Level 3 Communications, Inc.
OrgID: LVLT
Address: 1025 Eldorado Blvd.
City: Broomfield
StateProv: CO
PostalCode: 80021
Country: US

NetRange: 205.128.0.0 - 205.131.255.255
CIDR: 205.128.0.0/14
NetName: LVLT-ORG-205-128
NetHandle: NET-205-128-0-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.LEVEL3.NET
NameServer: NS2.LEVEL3.NET
Comment:
RegDate:
Updated: 2004-06-04

OrgAbuseHandle: APL8-ARIN
OrgAbuseName: Abuse POC LVLT
OrgAbusePhone: +1-877-453-8353
OrgAbuseEmail: [email protected]

OrgTechHandle: ARINC4-ARIN
OrgTechName: ARIN Contact
OrgTechPhone: +1-800-436-8489
OrgTechEmail: [email protected]

OrgTechHandle: TPL1-ARIN
OrgTechName: Tech POC LVLT
OrgTechPhone: +1-877-453-8353
OrgTechEmail: [email protected]

# ARIN WHOIS database, last updated 2008-03-08 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

********************************************************************************

**billyao** · 2008-03-11, 12:27 AM

1.可能被人植入了木馬或蠕蟲
2.該木馬或蠕蟲，spur應是假名稱，要找第一個源頭的程式，
也就是連接那個網站的程式，只是這不容易找....
3.檢查註冊機碼啟動部份的內容值
4.找hijackthis或sysbot程式偵測看看
5.找process explorer 程式偵測看看
6.回想看看，最近安裝了那些程式或上那些程式？

以上大概就這樣了，如果沒辦法的話，
就用windows 防火牆把那個程式或通訊埠或ip給暫時封了吧...

**大灰芒果** · 2008-03-11, 08:47 PM

作者：billyao

1.可能被人植入了木馬或蠕蟲
2.該木馬或蠕蟲，spur應是假名稱，要找第一個源頭的程式，
也就是連接那個網站的程式，只是這不容易找....
3.檢查註冊機碼啟動部份的內容值
4.找hijackthis或sysbot程式偵測看看
5.找process explorer 程式偵測看看
6.回想看看，最近安裝了那些程式或上那些程式？

以上大概就這樣了，如果沒辦法的話，
就用windows 防火牆把那個程式或通訊埠或ip給暫時封了吧...

謝謝, X (刪除)
PS. 我有在用eMule跟BT.

已用過AutoRuns, HijackThis, 但找不到異狀, 這是剛剛用RootKit Revealer 1.71掃瞄的結果…

(最後兩行是Process Explorer, AVG是防毒, sptd是DAEMON tools的驅動程式, SAC*跟SAI*是我灌完XP就有的, 我也不知道是甚麼)

另外, 它是透過svchost.exe(更正: cports顯示其程式名稱為XP系統服務之一)對外連線, 平時無法發現, 只會偶爾對網路有動作(就是這樣我才能透過cFosSpeed的監視視窗發現), 所以到現在我還是找不到它(用RootKit Revealer 1.71作全系統掃瞄也沒發現), 好像已經嵌入XP的系統核心了...

(刪除)

**billyao** · 2008-03-12, 04:17 AM

嗯嗯～
看了圖片之後，感覺上應該是倒數第三個，那隻程式有問題....
也許是蠕蟲躲在Perflib_Perfdata.dat裡面，試著刪除看看！
如果不是的話，試著將掃描器驅動程式、eMule跟BT 移除看看，
至於SAC跟SAI，依照機碼，我XP沒有這個東西，
所以沒辦法得知，這是什麼咚咚...

另外，要注意.PF檔案，它是預讀檔，在開啟程式時留下的記錄，以方便下次開啟時可以更快速啟動，所以可能要稍微檢查一下。

以下是參考資料

http://ks.cn.yahoo.com/question/1306071805141.html

http://www.pingku.com/question/35193727.html?fr=qrl3

http://www.isacn.org/bbs/lofi.php?t23293.html

perfdata, perflib, worm
http://www.experts-exchange.com/Secu..._21162014.html

**pcboy** · 2008-03-12, 08:57 AM

> 我用RootkitUnhooker發現了不明程式(spur.sys), 不過在工作管理員跟硬碟裡都找不到它, 有沒有人可以幫我, 或是有興趣研究, 我一定會配合, 謝

請問您有將隱藏檔案全部顯示嗎 ?

檔案總管 / 工具-下拉選單 / 資料夾選項, 檢視標籤
隱藏保護的作業系統檔案 <= 打勾取消

不顯示隱藏的檔案和資料夾 <= 改選 "顯示所有檔案和資料夾"

**大灰芒果** · 2008-03-12, 11:28 PM

作者：pcboy

> 我用RootkitUnhooker發現了不明程式(spur.sys), 不過在工作管理員跟硬碟裡都找不到它, 有沒有人可以幫我, 或是有興趣研究, 我一定會配合, 謝

請問您有將隱藏檔案全部顯示嗎 ?

檔案總管 / 工具-下拉選單 / 資料夾選項, 檢視標籤
隱藏保護的作業系統檔案 <= 打勾取消

不顯示隱藏的檔案和資料夾 <= 改選 "顯示所有檔案和資料夾"

謝謝您提醒！我沒有顯示全部的隱藏檔案，不過就算是開了也找不到，因為那支sp??.sys其實就是sptd.sys的分身，不是木馬程式。

琥珀 · 2008-03-12, 11:43 PM

sc query type= driver > list.txt

**大灰芒果** · 2008-03-12, 11:43 PM

作者：billyao

嗯嗯～
看了圖片之後，感覺上應該是倒數第三個，那隻程式有問題....
也許是蠕蟲躲在Perflib_Perfdata.dat裡面，試著刪除看看！
如果不是的話，試著將掃描器驅動程式、eMule跟BT 移除看看，
至於SAC跟SAI，依照機碼，我XP沒有這個東西，
所以沒辦法得知，這是什麼咚咚...

另外，要注意.PF檔案，它是預讀檔，在開啟程式時留下的記錄，以方便下次開啟時可以更快速啟動，所以可能要稍微檢查一下。

以下是參考資料

http://ks.cn.yahoo.com/question/1306071805141.html

http://www.pingku.com/question/35193727.html?fr=qrl3

http://www.isacn.org/bbs/lofi.php?t23293.html

perfdata, perflib, worm
http://www.experts-exchange.com/Secu..._21162014.html

感謝您的豐富資料，在我把DAEMON tools 4.11.2 lite跟PeerGuardian 2 Alpha Builds(051118)移除以後，那個sp??.sys(sptd.sys)跟perflib_perfdata_a10.dat已經消失。

X (刪除)

PS. 說實話，我很想用RootkitUnhooker把那些掛鉤通通幹掉，但上次我這麼做的結果是得重灌系統…

**大灰芒果** · 2008-03-12, 11:52 PM

作者：琥珀

sc query type= driver > list.txt

謝謝，附上剛好1000行的list.txt以供參考…list.txt

**billyao** · 2008-03-13, 12:40 PM

作者：大灰芒果

感謝您的豐富資料，在我把DAEMON tools 4.11.2 lite跟PeerGuardian 2 Alpha Builds(051118)移除以後，那個sp??.sys(sptd.sys)跟perflib_perfdata_a10.dat已經消失。

現在的問題是FireFox 2.0.0.12會自動監聽一組相近的兩個ports(會變動)，還有Windows Media Player 11突然不能播放WMA檔案(更正：已修復)，但可以放MP3(問題真是多啊…

)；附上最新的截圖以供參考：附加檔案 15004

點選圖片以看大圖

名稱：rootkit_revealer2.png
查看次數：10
檔案大小：11.4 KB
ID：15005

點選圖片以看大圖

名稱：rootkit_unhooker2-1.png
查看次數：12
檔案大小：29.6 KB
ID：15006

點選圖片以看大圖

名稱：rootkit_unhooker2-2.png
查看次數：9
檔案大小：36.6 KB
ID：15007

PS. 說實話，我很想用RootkitUnhooker把那些掛鉤通通幹掉，但上次我這麼做的結果是得重灌系統…

從您的圖來看，感覺好像沒什麼大問題....

第一張圖，firefox 連接2個埠，一個是1432、另一個是1430，前者為blueberry-lm 即Blueberry Software License Manager，後者為tpdu，即Hypercom TPDU，而Tpdu 是 Transport Protocol Data Unit。這兩個應該問題不大，應該是 cFosSpeed 所使用，非其他木馬軟體常駐，因為圖中的傳輸速率是0，請問您有裝手持式機器連線軟體嗎？或其他的行動裝置驅動程式所使用。

不知道，您是否有檢視系統日誌，看看是否有異常或可疑的資料?

另外，在你的LIST檔案裡面，有Remote Access Auto Connection Driver、Remote Access PPPOE Driver、PptpMiniport，請問您有使用VPN嗎？或著你的ADSL網路是撥接式，同時是直接接到您電腦的網路卡，是這樣嗎？如果不是或沒有的話，這些服務都可以直接關閉。

看起來，你的電腦似乎沒多大問題，整體執行速度應該沒有變慢吧！不過，您如果還是很擔心的話，要找出問題，不怕麻煩的話，要抽絲剝繭，漸漸地把電腦環境回歸到最單純，應該可以找到問題的徵結點，也許您可以這樣做...

1.移除 cFosSpeed ，檢測結果
2.移除 Firefox，檢測結果
3.執行IE，檢測結果

如果 Firefox 會出現那兩個連接埠的資訊，而IE沒有出現的話，那你就要檢查一下Firefox 的外掛或內嵌程式，因為有時候逛一些怪怪的網站，會偷偷幫您安裝至網頁瀏覽器裡面....

4.建議改變ADSL連接方式，選購一台良好的IP分享器，啟動該分享器內的硬體撥接設定，以NAT連線方式，將網路連接至您的電腦，可能會好一些，當然您電腦內的防毒軟體或防木馬軟體，也不可以少，這樣會安全些。

希望以上對您有所幫助...