【問題】煩請高手幫我看看XP的System出了什麼問題...

**billyao** · 2008-03-13, 12:47 PM

作者：琥珀

sc query type= driver > list.txt

玩到SC了，厲害～

**大灰芒果** · 2008-03-13, 09:43 PM

作者：billyao

從您的圖來看，感覺好像沒什麼大問題....

第一張圖，firefox 連接2個埠，一個是1432、另一個是1430，前者為blueberry-lm 即Blueberry Software License Manager，後者為tpdu，即Hypercom TPDU，而Tpdu 是 Transport Protocol Data Unit。這兩個應該問題不大，應該是 cFosSpeed 所使用，非其他木馬軟體常駐，因為圖中的傳輸速率是0，請問您有裝手持式機器連線軟體嗎？或其他的行動裝置驅動程式所使用。

不知道，您是否有檢視系統日誌，看看是否有異常或可疑的資料?

另外，在你的LIST檔案裡面，有Remote Access Auto Connection Driver、Remote Access PPPOE Driver、PptpMiniport，請問您有使用VPN嗎？或著你的ADSL網路是撥接式，同時是直接接到您電腦的網路卡，是這樣嗎？如果不是或沒有的話，這些服務都可以直接關閉。

看起來，你的電腦似乎沒多大問題，整體執行速度應該沒有變慢吧！不過，您如果還是很擔心的話，要找出問題，不怕麻煩的話，要抽絲剝繭，漸漸地把電腦環境回歸到最單純，應該可以找到問題的徵結點，也許您可以這樣做...

1.移除 cFosSpeed ，檢測結果
2.移除 Firefox，檢測結果
3.執行IE，檢測結果

如果 Firefox 會出現那兩個連接埠的資訊，而IE沒有出現的話，那你就要檢查一下Firefox 的外掛或內嵌程式，因為有時候逛一些怪怪的網站，會偷偷幫您安裝至網頁瀏覽器裡面....

4.建議改變ADSL連接方式，選購一台良好的IP分享器，啟動該分享器內的硬體撥接設定，以NAT連線方式，將網路連接至您的電腦，可能會好一些，當然您電腦內的防毒軟體或防木馬軟體，也不可以少，這樣會安全些。

希望以上對您有所幫助...

Billy大，我沒有用手機或任何裝置連線，也沒有使用VPN，這只是一部個人家庭用舊電腦，也沒用IP分享器… 我用的是中華電信給的ALCATEL T07A ADSL MODEM，為了安全性，故意使用撥接的方式連接ADSL，而不用DHCP。

小弟檢測系統日誌的結果，只有發現一個奇怪的部分，其它問題都已被我解決，異常的部分是在應用程式：Windows Defender 即時保護代理程式發生錯誤而且無法啟動。(但事實上它有常駐在記憶體，從工作管理員內可以看到)

X (刪除)

**大灰芒果** · 2008-03-14, 12:02 AM

補上最近也最簡短的執行中服務列表跟HijackThis的記錄檔，我會照Billy大說的把FireFox跟其他第三方軟體一個個移除再重裝+檢查，謝謝。

active_service.txt
hijackthis-log.txt

**大灰芒果** · 2008-03-15, 01:00 PM

再補上XP系統安全性設定異常部分…(我不清楚這是正常還是異常，因為我查過別人PC的XP內沒有這些東西，而我的XP pro SP2則是安裝完就有了…)

PS. 我沒有安裝／試用／使用任何伺服器產品，也沒有在設計資料庫程式，既然各位大大都花時間看了，就麻煩再大發慈悲地幫我看看。

補上完整的可遠端存取登錄路徑內容…
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration

**大灰芒果** · 2008-03-15, 02:49 PM

抓到了！MSN messenger 8.1自動向Level3.com的80埠通訊！(圖3)
跟之前抓到的svchost.exe程式一樣，都是連向level3.com，只不過svchost.exe是進(並自動下載了1MB以上的資料量), msnmsgr.exe卻是出, 共通點是兩個Class D IP號碼都是124(205.128.70.124跟199.93.58.124)。

這應該不是微軟的自動更新機制吧… 我並沒有開啟自動下載安裝的設定(圖1)，而svchost.exe下載資料時也沒有開啟MSN(請看圖2)，這到底是什麼情形？是微軟的程式在作怪嗎？

請參考附圖：

**pcboy** · 2008-03-15, 05:20 PM

很多後門是掛給 svchost.exe 中啟動

去下載這個程式, 看看 svchost 啟動了哪些程式

http://technet.microsoft.com/zh-tw/s...53(en-us).aspx

**大灰芒果** · 2008-03-17, 09:33 PM

作者：pcboy

很多後門是掛給 svchost.exe 中啟動

去下載這個程式, 看看 svchost 啟動了哪些程式

http://technet.microsoft.com/zh-tw/s...53(en-us).aspx

我剛好又當場"抓到了"這個svchost.exe(PID: 1588)在下載資料(共14.xxMB)… 從表面上來看是很正常，要深入研究的話已經在我的能力範圍之外了… 附圖+cports+process explorer抓到的資料。

[email protected]

svchost.exe@process explorer.txt

**大灰芒果** · 2008-03-17, 10:27 PM

更正：關於之前提到FireFox會自動開啟監聽埠的情形是屬於正常現象，我已經查到相關資料了。

有興趣的話請參考：
[求救]我的Firefox會自動開啟一對TCP監聽埠

**大灰芒果** · 2008-03-18, 10:23 PM

還有一個比較特殊的地方是系統會不定時自動出現一個資料夾，就在我上一次安裝XP的硬碟分割區，而且還是在上一個XP的系統管理員權限帳號下，把它刪掉還會不定時自動出現，附圖。(我上次安裝在G:, 帳號ID是fc)

PS. 附上 SREng 2.5 的掃描記錄檔。(建議可以省略其中HOSTS 文件的部份)
SREngLOG.zip

**warzero** · 2008-03-19, 01:22 AM

看了樓主所提供的報告，其實真的沒有什麼問題，也沒有可疑的 exe、dll 常駐程式。

然後稍微調查了 Level 3 Communications。
這不是什麼可疑網站，而是大部分ISP最大的 backbone network 之一。
加上 MSN Messenger 有跟 Level 3 合作，用其下 VOIP 服務，提供更佳的音質。對於連結去 Level 3 應該可以放心。
http://en.wikipedia.org/wiki/Level3
http://www.level3.com/newsroom/press.../20050503.html
http://news.softpedia.com/news/MSN-M...ter-1621.shtml

然後關於 RootkitRevealer 找到的 SAC* SAI* 是正常現象，基本上不必太擔心。
http://forum.sysinternals.com/forum_posts.asp?TID=8882

至於那個 SecuROM 也是正常，基本上有玩遊戲的人應該對這個有認識了。
SecuROM 是光碟保護機制，只要當初用過有此保護的光碟，系統就會強行寫入隱藏碼。
雖然並不會帶來什麼害處，不喜歡被寫入的話可以用相關工具來移除掉。
http://en.wikipedia.org/wiki/SecuROM

還有樓主安裝5、6個以上的保安程式，可能是這個問題導致你的 Windows Defenders 無法正常啟動。
裝數個保安程式不代表會越安全，如果使用不當中毒的幾率還是很大。且開啟太多實時監控程式，只會讓系統更不穩定、佔資源、拖慢處理器。
建議保留一個防毒軟體和一個防火墻就好。最重要還是培養良好的使用習慣，這才是最佳保護系統的方法。