此文章於 2008-03-18 10:42 PM 被 大灰芒果 編輯。 原因: 更正
補上最近也最簡短的執行中服務列表跟HijackThis的記錄檔,我會照Billy大說的把FireFox跟其他第三方軟體一個個移除再重裝+檢查,謝謝。
active_service.txt
hijackthis-log.txt
此文章於 2008-03-14 12:12 AM 被 大灰芒果 編輯。
再補上XP系統安全性設定異常部分…(我不清楚這是正常還是異常,因為我查過別人PC的XP內沒有這些東西,而我的XP pro SP2則是安裝完就有了…)
PS. 我沒有安裝/試用/使用任何伺服器產品,也沒有在設計資料庫程式,既然各位大大都花時間看了,就麻煩再大發慈悲地幫我看看。
補上完整的可遠端存取登錄路徑內容…
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
此文章於 2008-03-15 03:04 PM 被 大灰芒果 編輯。
很多後門是掛給 svchost.exe 中啟動
去下載這個程式, 看看 svchost 啟動了哪些程式
http://technet.microsoft.com/zh-tw/s...53(en-us).aspx
我剛好又當場"抓到了"這個svchost.exe(PID: 1588)在下載資料(共14.xxMB)… 從表面上來看是很正常,要深入研究的話已經在我的能力範圍之外了… 附圖+cports+process explorer抓到的資料。
[email protected]
svchost.exe@process explorer.txt
更正:關於之前提到FireFox會自動開啟監聽埠的情形是屬於正常現象,我已經查到相關資料了。
有興趣的話請參考:
[求救]我的Firefox會自動開啟一對TCP監聽埠
還有一個比較特殊的地方是系統會不定時自動出現一個資料夾,就在我上一次安裝XP的硬碟分割區,而且還是在上一個XP的系統管理員權限帳號下,把它刪掉還會不定時自動出現,附圖。(我上次安裝在G:, 帳號ID是fc)
PS. 附上 SREng 2.5 的掃描記錄檔。(建議可以省略其中HOSTS 文件的部份)
SREngLOG.zip
此文章於 2008-03-18 10:25 PM 被 大灰芒果 編輯。
看了樓主所提供的報告,其實真的沒有什麼問題,也沒有可疑的 exe、dll 常駐程式。
然後稍微調查了 Level 3 Communications。
這不是什麼可疑網站,而是大部分ISP最大的 backbone network 之一。
加上 MSN Messenger 有跟 Level 3 合作,用其下 VOIP 服務,提供更佳的音質。對於連結去 Level 3 應該可以放心。
http://en.wikipedia.org/wiki/Level3
http://www.level3.com/newsroom/press.../20050503.html
http://news.softpedia.com/news/MSN-M...ter-1621.shtml
然後關於 RootkitRevealer 找到的 SAC* SAI* 是正常現象,基本上不必太擔心。
http://forum.sysinternals.com/forum_posts.asp?TID=8882
至於那個 SecuROM 也是正常,基本上有玩遊戲的人應該對這個有認識了。
SecuROM 是光碟保護機制,只要當初用過有此保護的光碟,系統就會強行寫入隱藏碼。
雖然並不會帶來什麼害處,不喜歡被寫入的話可以用相關工具來移除掉。
http://en.wikipedia.org/wiki/SecuROM
還有樓主安裝5、6個以上的保安程式,可能是這個問題導致你的 Windows Defenders 無法正常啟動。
裝數個保安程式不代表會越安全,如果使用不當中毒的幾率還是很大。且開啟太多實時監控程式,只會讓系統更不穩定、佔資源、拖慢處理器。
建議保留一個防毒軟體和一個防火墻就好。最重要還是培養良好的使用習慣,這才是最佳保護系統的方法。
此文章於 2008-03-19 01:54 AM 被 warzero 編輯。
書籤