【求助】一個奇怪的機碼



贊助商連結


atoself
2004-03-02, 11:10 PM
各位大哥
我在檢查Windows啟動機碼的時候
有一個很奇怪的程式

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run內
有一個 internat.exe〔沒錯!就是這個檔名,我沒有打錯!〕

這個檔案是做什麼的阿??
覺得怪怪的!
又不敢砍....

有人知道這是什麼程式嗎??
謝謝!

贊助商連結


ranger
2004-03-02, 11:16 PM
名稱: PWSteal.Netsnake
說明: 受影響系統:
Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
弱點詳述:
PWSteal.Netsnake 收集密碼資訊,創造它自己的郵件訊息,並且送這些訊息到入侵者那裡。它挎貝自己到 %windir%\\Internat.exe.請注意有一個合法的Windows應用程式會呼叫%windir%\\system\\Internat.exe。此特洛依檔有82.5KB並且用ZIP 檔案圖示。真的Internat.exe一般只有20KB,圖示是一個\"?\"。

注意:%windir%是一個變數表示Windows安裝的目錄。正常安裝在C:\\Windows或C:\\Winnt。
在挎貝自己後,它在register key HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中
加入一個值Internat.exe %windir%\\internat.exe,以致於特洛依可在Windows啟動時執行。
資料來源:http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.netsnake.html

Schnaufer
2004-03-02, 11:27 PM
  這應該是正常的啦!

琥珀
2004-03-02, 11:32 PM
應該是正常的。今天才 Ghost 還原一次,檢查了這個地方,確實有這個機碼。

對應到 掌控現行使用者的鑰匙。(Windows 會自動對應/複製一份)

gds227
2004-03-02, 11:43 PM
最初由 atoself 發表
各位大哥
我在檢查Windows啟動機碼的時候
有一個很奇怪的程式

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run內
有一個 internat.exe〔沒錯!就是這個檔名,我沒有打錯!〕

這個檔案是做什麼的阿??
覺得怪怪的!
又不敢砍....

有人知道這是什麼程式嗎??
謝謝!

之前中了首頁被綁,刪除registry 中的internat.exe 得以恢復,
但確定未中之前此internat.exe 即己存在,如何恢復此檔的開機載入但又不會
遭首頁被綁的症狀﹖

atoself
2004-03-03, 12:15 AM
謝謝ranger
我有檢查過我的internat.exe
應該是沒有感染木馬....

謝謝大家的回應....