【問題】使用tcpview會看到一堆smtp的連線

**blackwind** · 2008-07-22, 01:00 PM

小弟最近覺得網路怪怪的使用tcpview一查之下才發現有許多的smtp在偷跑。
原本剛連上網時網路一切都ok，過沒多久，網路的上傳就會開始遠大於下載，
用tcpview查看才發現怎麼會有這麼多的smtp在跑，每次的smtp遠端ip位置都不一樣，在更早之前沒有這些問題。
以下是由tcpview所copy下來的一些記錄。
[System Process]:0 TCP bwd:1493 mail.conservatek.com:smtp TIME_WAIT
[System Process]:0 TCP bwd:1490 smtp37.redcondor.net:smtp TIME_WAIT
[System Process]:0 TCP bwd:1498 mail-mx-5.tiscali.it:smtp TIME_WAIT
[System Process]:0 TCP bwd:1367 tc-in-f166.google.com:http TIME_WAIT
[System Process]:0 TCP bwd:1496 mail04.mexis.com.mx:smtp TIME_WAIT
[System Process]:0 TCP bwd:1522 antispam4.its.unimelb.edu.au:smtp TIME_WAIT
[System Process]:0 TCP bwd:1523 mail5.zoneedit.com:smtp TIME_WAIT
[System Process]:0 TCP bwd:1555 mail.web4u.cz:smtp TIME_WAIT
[System Process]:0 TCP bwd:1553 mx.relay.orange-business.com:smtp TIME_WAIT
[System Process]:0 TCP bwd:1563 smtp2.mail.sizeit.se:smtp TIME_WAIT
svchost.exe:1084 TCP bwd:1229 e35.co.us.ibm.com:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1278 postfix3.vitro.epldt.net:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1334 vmailpx2.mvnet.de:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1424 mta-v8.mail.vip.mud.yahoo.com:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:ingreslock cluster.groups.msn.com:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1541 e4.ny.us.ibm.com:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1550 ms3a.hinet.net:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1548 cluster.groups.msn.com:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1557 relay-par1-neuf.relay.n9uf.net:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1564 lvps80-237-161-54.dedicated.hosteurope.de:smtp ESTABLISHED
svchost.exe:1084 TCP bwd:1573 ms62a.hinet.net:smtp ESTABLISHED

以有爬文過...但找不到解答只好請求各大大的協助。小弟在此先謝過了

**twu2** · 2008-07-22, 01:41 PM

中毒或被裝了木馬吧. 通常是被用來發廣告信.

**blackwind** · 2008-07-22, 02:31 PM

小弟裝的是nod32 2.7版
試過線上掃毒
也用過掃木馬的程式但..都沒有說有中毒呀

**阿土** · 2008-07-22, 03:03 PM

有人問過 , 但沒有回答
http://www.pczone.com.tw/thread/28/136214

不過看起來八九成是中標了
也許是 spambot 導致一直發信

你系統有這兩個檔案嗎？ (正常電腦不會存在這兩個檔案)
c:\windows\system\smss.exe
c:\windows\system32\nvsvcd.exe

剛找過往上一些資料 , 沒找到正確或相近的狀況
建議 ghost 還原或者重灌比較快解決

**FYI** · 2008-07-23, 06:01 PM

對於潛伏的病毒, 小弟習慣以人工智慧(就是人腦啦)分析Sysinternals AutoRuns 執行後的結果, 此招只對單細胞病毒有效, 對於Rootkit 就沒轍了

**tvirus** · 2008-07-23, 09:17 PM

那個狀況有可能是被植入木馬
大陸軟體特別愛搞這個
(不然那些發不完的廣告信哪寄出的 XD)
不過是svchost.exe?已經變成系統服務?(除非是同名但不同路徑的檔案)
跟FYI大一樣
這個通常都是要人去分析
不過我偏愛Prcview XD

PS:靠防毒軟體是沒用的,最強且最終的防線是自己

**FYI** · 2008-07-23, 11:20 PM

檢查 "系統管理工具" 之下的 "服務" 是否有用? 用Process Explorer 觀察更直接

**tvirus** · 2008-07-25, 02:51 AM

Prcview的最大功能是:
執行程式的追蹤(Process Monitor)

從一開機就執行的程式到工作管理員裡看不到的執行序,
通通都可以記錄下來

Process Explorer的功能是:
很明白的顯示出,是哪個程式呼叫或執行了哪個程式 XD

**a007** · 2008-07-25, 07:56 AM

我上次中過! 中了病毒, 各種線上掃毒都掃過, 掃不出來.

所以重灌啦!

注意!重灌前, 系統還原關閉. 所有硬碟都重新 format.

**blackwind** · 2008-07-27, 01:34 PM

最後小弟以format c:重灌才解決...
之前在google尋找有關類似的東西
多年前也有發生過那時的名稱叫"諾維格"
這次完全找不到是什麼毒呀..
c:\windows\system\smss.exe
上述這個檔案，重灌完就會有...
svchost.exe此服務小弟也找過，它的位置沒有變動過

謝謝各位大大的熱心協助，謝謝哩

ps目前小弟改用pctav此套防毒在測試中