wuchaowei
2006-09-06, 08:55 AM
最後一次正常前(9/4), 因為有中了幾個木馬, 更新了pccilin 最新的病毒碼和tsc
9/5 一開機就發現有此情況, 因為我有個服務不是以administrator帳號啟動的
用非admin群組的帳號登入桌面 (意即power user, backup user, user等等等群組), 可以使用ping, 但tcp/udp的連線都失敗
這是9/5掃出病毒的log
20060905,113854,2,1,TSPY_LINEAGE.BCS,C:\Program Files\Internet Explorer\1Sy.exe,3,0,2,1
20060905,113854,2,1,TSPY_LINEAGE.BHA,C:\Program Files\Internet Explorer\2Sy.exe,3,0,2,1
20060905,113854,2,1,TSPY_WOW.KO,C:\Program Files\Internet Explorer\3Sy.exe,3,0,2,1
20060905,113854,2,1,TSPY_LINEAGE.BIB,C:\Program Files\Internet Explorer\4Sy.exe,3,0,2,1
20060905,113912,2,1,PE_LOOKED.BI-O,C:\WINNT\rundl132.exe,3,0,2,1
20060905,113913,2,1,TSPY_LINEAGE.BCS,C:\WINNT\command\rundll32.exe,3,0,2,1
之後就沒有再掃到毒了
用netstat -a 好像listen了不少port
TCP chaowei:http chaowei:0 LISTENING
TCP chaowei:epmap chaowei:0 LISTENING
TCP chaowei:microsoft-ds chaowei:0 LISTENING
TCP chaowei:1027 chaowei:0 LISTENING
TCP chaowei:1028 chaowei:0 LISTENING
TCP chaowei:1304 chaowei:0 LISTENING
TCP chaowei:1327 chaowei:0 LISTENING
TCP chaowei:1330 chaowei:0 LISTENING
TCP chaowei:1429 chaowei:0 LISTENING
TCP chaowei:1438 chaowei:0 LISTENING
TCP chaowei:1443 chaowei:0 LISTENING
TCP chaowei:1445 chaowei:0 LISTENING
TCP chaowei:1447 chaowei:0 LISTENING
TCP chaowei:1449 chaowei:0 LISTENING
TCP chaowei:1451 chaowei:0 LISTENING
TCP chaowei:1453 chaowei:0 LISTENING
TCP chaowei:1455 chaowei:0 LISTENING
TCP chaowei:1471 chaowei:0 LISTENING
TCP chaowei:1472 chaowei:0 LISTENING
TCP chaowei:1473 chaowei:0 LISTENING
TCP chaowei:1474 chaowei:0 LISTENING
TCP chaowei:1475 chaowei:0 LISTENING
TCP chaowei:1476 chaowei:0 LISTENING
TCP chaowei:1477 chaowei:0 LISTENING
TCP chaowei:1478 chaowei:0 LISTENING
TCP chaowei:1479 chaowei:0 LISTENING
TCP chaowei:1480 chaowei:0 LISTENING
TCP chaowei:wins chaowei:0 LISTENING
TCP chaowei:1513 chaowei:0 LISTENING
TCP chaowei:1514 chaowei:0 LISTENING
TCP chaowei:1515 chaowei:0 LISTENING
TCP chaowei:1516 chaowei:0 LISTENING
TCP chaowei:1517 chaowei:0 LISTENING
TCP chaowei:1518 chaowei:0 LISTENING
TCP chaowei:1519 chaowei:0 LISTENING
TCP chaowei:1520 chaowei:0 LISTENING
TCP chaowei:1522 chaowei:0 LISTENING
TCP chaowei:10800 chaowei:0 LISTENING
TCP chaowei:1035 chaowei:0 LISTENING
TCP chaowei:1037 chaowei:0 LISTENING
TCP chaowei:1038 chaowei:0 LISTENING
TCP chaowei:netbios-ssn chaowei:0 LISTENING
可是admin的帳號登入桌面 使用上都沒什麼問題啊, 查了很多群組帳號的安全性
設定, 例如是否限制了一般帳號上網, 但我找不到有這樣的設定, 謝了 :)
贊助商連結
9/5 一開機就發現有此情況, 因為我有個服務不是以administrator帳號啟動的
用非admin群組的帳號登入桌面 (意即power user, backup user, user等等等群組), 可以使用ping, 但tcp/udp的連線都失敗
這是9/5掃出病毒的log
20060905,113854,2,1,TSPY_LINEAGE.BCS,C:\Program Files\Internet Explorer\1Sy.exe,3,0,2,1
20060905,113854,2,1,TSPY_LINEAGE.BHA,C:\Program Files\Internet Explorer\2Sy.exe,3,0,2,1
20060905,113854,2,1,TSPY_WOW.KO,C:\Program Files\Internet Explorer\3Sy.exe,3,0,2,1
20060905,113854,2,1,TSPY_LINEAGE.BIB,C:\Program Files\Internet Explorer\4Sy.exe,3,0,2,1
20060905,113912,2,1,PE_LOOKED.BI-O,C:\WINNT\rundl132.exe,3,0,2,1
20060905,113913,2,1,TSPY_LINEAGE.BCS,C:\WINNT\command\rundll32.exe,3,0,2,1
之後就沒有再掃到毒了
用netstat -a 好像listen了不少port
TCP chaowei:http chaowei:0 LISTENING
TCP chaowei:epmap chaowei:0 LISTENING
TCP chaowei:microsoft-ds chaowei:0 LISTENING
TCP chaowei:1027 chaowei:0 LISTENING
TCP chaowei:1028 chaowei:0 LISTENING
TCP chaowei:1304 chaowei:0 LISTENING
TCP chaowei:1327 chaowei:0 LISTENING
TCP chaowei:1330 chaowei:0 LISTENING
TCP chaowei:1429 chaowei:0 LISTENING
TCP chaowei:1438 chaowei:0 LISTENING
TCP chaowei:1443 chaowei:0 LISTENING
TCP chaowei:1445 chaowei:0 LISTENING
TCP chaowei:1447 chaowei:0 LISTENING
TCP chaowei:1449 chaowei:0 LISTENING
TCP chaowei:1451 chaowei:0 LISTENING
TCP chaowei:1453 chaowei:0 LISTENING
TCP chaowei:1455 chaowei:0 LISTENING
TCP chaowei:1471 chaowei:0 LISTENING
TCP chaowei:1472 chaowei:0 LISTENING
TCP chaowei:1473 chaowei:0 LISTENING
TCP chaowei:1474 chaowei:0 LISTENING
TCP chaowei:1475 chaowei:0 LISTENING
TCP chaowei:1476 chaowei:0 LISTENING
TCP chaowei:1477 chaowei:0 LISTENING
TCP chaowei:1478 chaowei:0 LISTENING
TCP chaowei:1479 chaowei:0 LISTENING
TCP chaowei:1480 chaowei:0 LISTENING
TCP chaowei:wins chaowei:0 LISTENING
TCP chaowei:1513 chaowei:0 LISTENING
TCP chaowei:1514 chaowei:0 LISTENING
TCP chaowei:1515 chaowei:0 LISTENING
TCP chaowei:1516 chaowei:0 LISTENING
TCP chaowei:1517 chaowei:0 LISTENING
TCP chaowei:1518 chaowei:0 LISTENING
TCP chaowei:1519 chaowei:0 LISTENING
TCP chaowei:1520 chaowei:0 LISTENING
TCP chaowei:1522 chaowei:0 LISTENING
TCP chaowei:10800 chaowei:0 LISTENING
TCP chaowei:1035 chaowei:0 LISTENING
TCP chaowei:1037 chaowei:0 LISTENING
TCP chaowei:1038 chaowei:0 LISTENING
TCP chaowei:netbios-ssn chaowei:0 LISTENING
可是admin的帳號登入桌面 使用上都沒什麼問題啊, 查了很多群組帳號的安全性
設定, 例如是否限制了一般帳號上網, 但我找不到有這樣的設定, 謝了 :)
贊助商連結