【問題】煩請高手幫我看看XP的System出了什麼問題...

[B]狀況:[/B]
[B][COLOR="Red"]X[/COLOR][/B]1. (刪除)
[COLOR="Blue"]2. Windows XP system的svchost.exe常常(嚴格說起來是偶爾)會出現從美國的某IP下載資料的情形.[/COLOR][ATTACH]14998[/ATTACH]:jump2:
[B][COLOR="Red"]X[/COLOR][/B]3. (刪除)
([B]更正: [/B]sp??.sys就是sptd.sys, 是DAEMON tools的一部份, 已解決)

[B]我的PC系統:[/B]
Windows XP pro SP2
Windows Defender 1.1防惡意程式(微軟的)
AntiVIR PE v7+ AVG v7.5雙防毒, AntiVIR常駐, 無效(非商用免費版防毒)
COMODO Firewall pro 3(非商用免費版防火牆)
SeedNet撥接式ADSL上網, 搭載cFosSpeed v4.06
[B]+[/B]PeerGuardian 2(IP防火牆)

[B]該程式所連接的美國IP資料:[/B]
OrgName: Level 3 Communications, Inc.
OrgID: LVLT
Address: 1025 Eldorado Blvd.
City: Broomfield
StateProv: CO
PostalCode: 80021
Country: US

NetRange: 205.128.0.0 - 205.131.255.255
CIDR: 205.128.0.0/14
NetName: LVLT-ORG-205-128
NetHandle: NET-205-128-0-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.LEVEL3.NET
NameServer: NS2.LEVEL3.NET
Comment:
RegDate:
Updated: 2004-06-04

OrgAbuseHandle: APL8-ARIN
OrgAbuseName: Abuse POC LVLT
OrgAbusePhone: +1-877-453-8353
OrgAbuseEmail: [email][email protected][/email]

OrgTechHandle: ARINC4-ARIN
OrgTechName: ARIN Contact
OrgTechPhone: +1-800-436-8489
OrgTechEmail: [email][email protected][/email]

OrgTechHandle: TPL1-ARIN
OrgTechName: Tech POC LVLT
OrgTechPhone: +1-877-453-8353
OrgTechEmail: [email][email protected][/email]

# ARIN WHOIS database, last updated 2008-03-08 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

********************************************************************************

1.可能被人植入了木馬或蠕蟲
2.該木馬或蠕蟲，spur應是假名稱，要找第一個源頭的程式，
也就是連接那個網站的程式，只是這不容易找....
3.檢查註冊機碼啟動部份的內容值
4.找hijackthis或sysbot程式偵測看看
5.找process explorer 程式偵測看看
6.回想看看，最近安裝了那些程式或上那些程式？

以上大概就這樣了，如果沒辦法的話，
就用windows 防火牆把那個程式或通訊埠或ip給暫時封了吧...

[QUOTE=billyao;1008934]1.可能被人植入了木馬或蠕蟲
2.該木馬或蠕蟲，spur應是假名稱，要找第一個源頭的程式，
也就是連接那個網站的程式，只是這不容易找....
3.檢查註冊機碼啟動部份的內容值
4.找hijackthis或sysbot程式偵測看看
5.找process explorer 程式偵測看看
6.回想看看，最近安裝了那些程式或上那些程式？

以上大概就這樣了，如果沒辦法的話，
就用windows 防火牆把那個程式或通訊埠或ip給暫時封了吧...[/QUOTE]

謝謝, [B][COLOR="Red"]X[/COLOR][/B] (刪除)
PS. 我有在用eMule跟BT.

[B]已用過AutoRuns, HijackThis, 但找不到異狀, 這是剛剛用RootKit Revealer 1.71掃瞄的結果…[/B][ATTACH]14999[/ATTACH]
(最後兩行是Process Explorer, AVG是防毒, sptd是DAEMON tools的驅動程式, SAC*跟SAI*是我灌完XP就有的, 我也不知道是甚麼)

[COLOR="Blue"][U]另外, 它是透過svchost.exe([B]更正: [/B]cports顯示其程式名稱為XP系統服務之一)對外連線, 平時無法發現, 只會偶爾對網路有動作(就是這樣我才能透過cFosSpeed的監視視窗發現),[/U][/COLOR] 所以到現在我還是找不到它(用RootKit Revealer 1.71作全系統掃瞄也沒發現), 好像已經嵌入XP的系統核心了...:eye:

(刪除)

嗯嗯～
看了圖片之後，感覺上應該是倒數第三個，那隻程式有問題....
也許是蠕蟲躲在Perflib_Perfdata.dat裡面，試著刪除看看！
如果不是的話，試著將掃描器驅動程式、eMule跟BT 移除看看，
至於SAC跟SAI，依照機碼，我XP沒有這個東西，
所以沒辦法得知，這是什麼咚咚...

另外，要注意.PF檔案，它是預讀檔，在開啟程式時留下的記錄，以方便下次開啟時可以更快速啟動，所以可能要稍微檢查一下。

以下是參考資料

[url]http://ks.cn.yahoo.com/question/1306071805141.html[/url]

[url]http://www.pingku.com/question/35193727.html?fr=qrl3[/url]

[url]http://www.isacn.org/bbs/lofi.php?t23293.html[/url]

perfdata, perflib, worm
[url]http://www.experts-exchange.com/Security/Misc/Q_21162014.html[/url]

> 我用RootkitUnhooker發現了不明程式(spur.sys), 不過在工作管理員跟硬碟裡都找不到它, 有沒有人可以幫我, 或是有興趣研究, 我一定會配合, 謝

請問您有將隱藏檔案全部顯示嗎 ?

檔案總管 / 工具-下拉選單 / 資料夾選項, 檢視 標籤
隱藏保護的作業系統檔案 <= 打勾取消

不顯示隱藏的檔案和資料夾 <= 改選 "顯示所有檔案和資料夾"

[QUOTE=pcboy;1009100]> 我用RootkitUnhooker發現了不明程式(spur.sys), 不過在工作管理員跟硬碟裡都找不到它, 有沒有人可以幫我, 或是有興趣研究, 我一定會配合, 謝

請問您有將隱藏檔案全部顯示嗎 ?

檔案總管 / 工具-下拉選單 / 資料夾選項, 檢視 標籤
隱藏保護的作業系統檔案 <= 打勾取消

不顯示隱藏的檔案和資料夾 <= 改選 "顯示所有檔案和資料夾"[/QUOTE]

:o 謝謝您提醒！我沒有顯示全部的隱藏檔案，不過就算是開了也找不到，因為那支sp??.sys其實就是sptd.sys的分身，不是木馬程式。

sc query type= driver > list.txt

[QUOTE=billyao;1009082]嗯嗯～
看了圖片之後，感覺上應該是倒數第三個，那隻程式有問題....
也許是蠕蟲躲在Perflib_Perfdata.dat裡面，試著刪除看看！
如果不是的話，試著將掃描器驅動程式、eMule跟BT 移除看看，
至於SAC跟SAI，依照機碼，我XP沒有這個東西，
所以沒辦法得知，這是什麼咚咚...

另外，要注意.PF檔案，它是預讀檔，在開啟程式時留下的記錄，以方便下次開啟時可以更快速啟動，所以可能要稍微檢查一下。

以下是參考資料

[url]http://ks.cn.yahoo.com/question/1306071805141.html[/url]

[url]http://www.pingku.com/question/35193727.html?fr=qrl3[/url]

[url]http://www.isacn.org/bbs/lofi.php?t23293.html[/url]

perfdata, perflib, worm
[url]http://www.experts-exchange.com/Security/Misc/Q_21162014.html[/url][/QUOTE]

[COLOR="Blue"]感謝您的豐富資料，在我把DAEMON tools 4.11.2 lite跟PeerGuardian 2 Alpha Builds(051118)移除以後，那個sp??.sys(sptd.sys)跟perflib_perfdata_a10.dat已經消失。[/COLOR]

[B][COLOR="Red"]X[/COLOR][/B] (刪除)

[ATTACH]15005[/ATTACH]

[ATTACH]15006[/ATTACH]

[ATTACH]15007[/ATTACH]

[B]PS. [/B]說實話，我很想用RootkitUnhooker把那些掛鉤通通幹掉，但上次我這麼做的結果是得重灌系統…

[QUOTE=琥珀;1009211]sc query type= driver > list.txt[/QUOTE]

謝謝，附上剛好1000行的list.txt以供參考…[ATTACH]15008[/ATTACH]:rolleyes:

[QUOTE=大灰芒果;1009212][COLOR="Blue"]感謝您的豐富資料，在我把DAEMON tools 4.11.2 lite跟PeerGuardian 2 Alpha Builds(051118)移除以後，那個sp??.sys(sptd.sys)跟perflib_perfdata_a10.dat已經消失。[/COLOR]

[U]現在的問題是FireFox 2.0.0.12會自動監聽一組相近的兩個ports(會變動)，[/U]還有Windows Media Player 11突然不能播放WMA檔案([B]更正：[/B]已修復)，但可以放MP3(問題真是多啊…:|||: )；附上最新的截圖以供參考：[ATTACH]15004[/ATTACH]

[ATTACH]15005[/ATTACH]

[ATTACH]15006[/ATTACH]

[ATTACH]15007[/ATTACH]

[B]PS. [/B]說實話，我很想用RootkitUnhooker把那些掛鉤通通幹掉，但上次我這麼做的結果是得重灌系統…[/QUOTE]

從您的圖來看，感覺好像沒什麼大問題....

第一張圖，firefox 連接2個埠，一個是1432、另一個是1430，前者為blueberry-lm 即Blueberry Software License Manager，後者為tpdu，即Hypercom TPDU，而Tpdu 是 Transport Protocol Data Unit。這兩個應該問題不大，應該是 cFosSpeed 所使用，非其他木馬軟體常駐，因為圖中的傳輸速率是0，請問您有裝手持式機器連線軟體嗎？或其他的行動裝置驅動程式所使用。

不知道，您是否有檢視系統日誌，看看是否有異常或可疑的資料?

另外，在你的LIST檔案裡面，有Remote Access Auto Connection Driver、Remote Access PPPOE Driver、PptpMiniport，請問您有使用VPN嗎？或著你的ADSL網路是撥接式，同時是直接接到您電腦的網路卡，是這樣嗎？如果不是或沒有的話，這些服務都可以直接關閉。

看起來，你的電腦似乎沒多大問題，整體執行速度應該沒有變慢吧！不過，您如果還是很擔心的話，要找出問題，不怕麻煩的話，要抽絲剝繭，漸漸地把電腦環境回歸到最單純，應該可以找到問題的徵結點，也許您可以這樣做...

1.移除 cFosSpeed ，檢測結果
2.移除 Firefox，檢測結果
3.執行IE，檢測結果

如果 Firefox 會出現那兩個連接埠的資訊，而IE沒有出現的話，那你就要檢查一下Firefox 的外掛或內嵌程式，因為有時候逛一些怪怪的網站，會偷偷幫您安裝至網頁瀏覽器裡面....

4.建議改變ADSL連接方式，選購一台良好的IP分享器，啟動該分享器內的硬體撥接設定，以NAT連線方式，將網路連接至您的電腦，可能會好一些，當然您電腦內的防毒軟體或防木馬軟體，也不可以少，這樣會安全些。

希望以上對您有所幫助...

[QUOTE=琥珀;1009211]sc query type= driver > list.txt[/QUOTE]

玩到SC了，厲害～:lovely:

[QUOTE=billyao;1009283]從您的圖來看，感覺好像沒什麼大問題....

第一張圖，firefox 連接2個埠，一個是1432、另一個是1430，前者為blueberry-lm 即Blueberry Software License Manager，後者為tpdu，即Hypercom TPDU，而Tpdu 是 Transport Protocol Data Unit。這兩個應該問題不大，應該是 cFosSpeed 所使用，非其他木馬軟體常駐，因為圖中的傳輸速率是0，請問您有裝手持式機器連線軟體嗎？或其他的行動裝置驅動程式所使用。

不知道，您是否有檢視系統日誌，看看是否有異常或可疑的資料?

另外，在你的LIST檔案裡面，有Remote Access Auto Connection Driver、Remote Access PPPOE Driver、PptpMiniport，請問您有使用VPN嗎？或著你的ADSL網路是撥接式，同時是直接接到您電腦的網路卡，是這樣嗎？如果不是或沒有的話，這些服務都可以直接關閉。

看起來，你的電腦似乎沒多大問題，整體執行速度應該沒有變慢吧！不過，您如果還是很擔心的話，要找出問題，不怕麻煩的話，要抽絲剝繭，漸漸地把電腦環境回歸到最單純，應該可以找到問題的徵結點，也許您可以這樣做...

1.移除 cFosSpeed ，檢測結果
2.移除 Firefox，檢測結果
3.執行IE，檢測結果

如果 Firefox 會出現那兩個連接埠的資訊，而IE沒有出現的話，那你就要檢查一下Firefox 的外掛或內嵌程式，因為有時候逛一些怪怪的網站，會偷偷幫您安裝至網頁瀏覽器裡面....

4.建議改變ADSL連接方式，選購一台良好的IP分享器，啟動該分享器內的硬體撥接設定，以NAT連線方式，將網路連接至您的電腦，可能會好一些，當然您電腦內的防毒軟體或防木馬軟體，也不可以少，這樣會安全些。

希望以上對您有所幫助...[/QUOTE]

[U]Billy大，我沒有用手機或任何裝置連線，也沒有使用VPN，這只是一部個人家庭用舊電腦，也沒用IP分享器… 我用的是中華電信給的ALCATEL T07A ADSL MODEM，為了安全性，故意使用撥接的方式連接ADSL，而不用DHCP。[/U]

小弟檢測系統日誌的結果，只有發現一個奇怪的部分，其它問題都已被我解決，異常的部分是在應用程式：[B]Windows Defender 即時保護代理程式發生錯誤而且無法啟動。(但事實上它有常駐在記憶體，從工作管理員內可以看到)[/B][ATTACH]15013[/ATTACH][ATTACH]15014[/ATTACH]

[B][COLOR="Red"]X[/COLOR][/B] (刪除)

補上最近也最簡短的執行中服務列表跟HijackThis的記錄檔，我會照Billy大說的把FireFox跟其他第三方軟體一個個移除再重裝+檢查，謝謝。

[ATTACH]15017[/ATTACH]
[ATTACH]15018[/ATTACH]

再補上XP系統安全性設定異常部分…(我不清楚這是正常還是異常，因為我查過別人PC的XP內沒有這些東西，而我的XP pro SP2則是安裝完就有了…)

PS. 我沒有安裝／試用／使用任何伺服器產品，也沒有在設計資料庫程式，既然各位大大都花時間看了，就麻煩再大發慈悲地幫我看看。:D

[ATTACH]15030[/ATTACH]

[ATTACH]15031[/ATTACH]

[ATTACH]15032[/ATTACH]
[B]補上完整的可遠端存取登錄路徑內容…[/B]
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration

[B]抓到了！MSN messenger 8.1自動向Level3.com的80埠通訊！(圖3)[/B]
[U]跟之前抓到的svchost.exe程式一樣，都是連向level3.com，只不過svchost.exe是進(並自動下載了1MB以上的資料量), msnmsgr.exe卻是出, 共通點是兩個Class D IP號碼都是124(205.128.70.124跟199.93.58.124)。[/U]

[COLOR="Blue"]這應該不是微軟的自動更新機制吧… 我並沒有開啟自動下載安裝的設定(圖1)，而svchost.exe下載資料時也沒有開啟MSN(請看圖2)，這到底是什麼情形？是微軟的程式在作怪嗎？:( [/COLOR]
請參考附圖：
[ATTACH]15035[/ATTACH]

[ATTACH]15033[/ATTACH]

[ATTACH]15034[/ATTACH]

很多後門是掛給 svchost.exe 中啟動

去下載這個程式, 看看 svchost 啟動了哪些程式

[url]http://technet.microsoft.com/zh-tw/sysinternals/bb896653(en-us).aspx[/url]

[QUOTE=pcboy;1009565]很多後門是掛給 svchost.exe 中啟動

去下載這個程式, 看看 svchost 啟動了哪些程式

[url]http://technet.microsoft.com/zh-tw/sysinternals/bb896653(en-us).aspx[/url][/QUOTE]

[COLOR="Blue"]我剛好又當場"抓到了"這個svchost.exe(PID: 1588)在下載資料(共14.xxMB)…[/COLOR] 從表面上來看是很正常，要深入研究的話已經在我的能力範圍之外了… 附圖+cports+process explorer抓到的資料。

[ATTACH]15045[/ATTACH]

[ATTACH]15046[/ATTACH]

[ATTACH]15047[/ATTACH]

[B]更正：[/B]關於之前提到FireFox會自動開啟監聽埠的情形是屬於正常現象，我已經查到相關資料了。:D

[B]有興趣的話請參考：[/B]
[URL=http://forum.moztw.org/viewtopic.php?t=21934][求救]我的Firefox會自動開啟一對TCP監聽埠[/URL]

[COLOR="Blue"]還有一個比較特殊的地方是系統會不定時自動出現一個資料夾，就在我上一次安裝XP的硬碟分割區，而且還是在上一個XP的系統管理員權限帳號下，把它刪掉還會不定時自動出現，[/COLOR]附圖。(我上次安裝在G:, 帳號ID是fc)
[ATTACH]15049[/ATTACH]

[B]PS.[/B] 附上 SREng 2.5 的掃描記錄檔。(建議可以省略其中[B]HOSTS 文件[/B]的部份)
[ATTACH]15050[/ATTACH]

看了樓主所提供的報告，其實真的沒有什麼問題，也沒有可疑的 exe、dll 常駐程式。

然後稍微調查了 Level 3 Communications。
這不是什麼可疑網站，而是大部分ISP最大的 backbone network 之一。
加上 MSN Messenger 有跟 Level 3 合作，用其下 VOIP 服務，提供更佳的音質。對於連結去 Level 3 應該可以放心。
[url]http://en.wikipedia.org/wiki/Level3[/url]
[url]http://www.level3.com/newsroom/pressreleases/2005/20050503.html[/url]
[url]http://news.softpedia.com/news/MSN-Messenger-hears-and-sees-better-1621.shtml[/url]

然後關於 RootkitRevealer 找到的 SAC* SAI* 是正常現象，基本上不必太擔心。
[url]http://forum.sysinternals.com/forum_posts.asp?TID=8882[/url]

至於那個 SecuROM 也是正常，基本上有玩遊戲的人應該對這個有認識了。
SecuROM 是光碟保護機制，只要當初用過有此保護的光碟，系統就會強行寫入隱藏碼。
雖然並不會帶來什麼害處，不喜歡被寫入的話可以用相關工具來移除掉。
[url]http://en.wikipedia.org/wiki/SecuROM[/url]

還有樓主安裝5、6個以上的保安程式，可能是這個問題導致你的 Windows Defenders 無法正常啟動。
裝數個保安程式不代表會越安全，如果使用不當中毒的幾率還是很大。且開啟太多實時監控程式，只會讓系統更不穩定、佔資源、拖慢處理器。
建議保留一個防毒軟體和一個防火墻就好。最重要還是培養良好的使用習慣，這才是最佳保護系統的方法。

其實你不要管那麼多，如果你摸過防火牆軟體你就會知道一個觀念，那就是…
C:\WINDOWS\system32\svchost.exe 的連網行為只有out，沒有in的
也就是說…它只有連到外面去…
我提供我的防火牆對svchost設定的規則提供你參考，你就會懂了！
一. UDP OUT﹍Any → 168.95.192.1(DNS伺服器位址) → 源 port 1025~5000 → 目的port 53
二. UDP OUT﹍Any → 168.95.1.1(DNS伺服器位址) → 源 port 1025~5000 → 目的port 53
三. UDP OUT﹍Any → Any 源 port 123 → 目的 port 123 （123port是校正時間用）
四.阻擋任何 IP in & out

如果你沒設定DNS位址，svchost 就會從 port 68 連出到 port 67 請求給個DNS位址
然後再從67連入到68給個DNS位址，這個就有連入了，但是就是只有68到67這個port而已，另外…如果你有設網路芳鄰，就會用到135.137.138.139.445，這當然就有連入了，不然怎麼分享給人。

[QUOTE=warzero;1009926]看了樓主所提供的報告，其實真的沒有什麼問題，也沒有可疑的 exe、dll 常駐程式。

然後稍微調查了 Level 3 Communications。
這不是什麼可疑網站，而是大部分ISP最大的 backbone network 之一。
加上 MSN Messenger 有跟 Level 3 合作，用其下 VOIP 服務，提供更佳的音質。對於連結去 Level 3 應該可以放心。
[url]http://en.wikipedia.org/wiki/Level3[/url]
[url]http://www.level3.com/newsroom/pressreleases/2005/20050503.html[/url]
[url]http://news.softpedia.com/news/MSN-Messenger-hears-and-sees-better-1621.shtml[/url]

然後關於 RootkitRevealer 找到的 SAC* SAI* 是正常現象，基本上不必太擔心。
[url]http://forum.sysinternals.com/forum_posts.asp?TID=8882[/url]

至於那個 SecuROM 也是正常，基本上有玩遊戲的人應該對這個有認識了。
SecuROM 是光碟保護機制，只要當初用過有此保護的光碟，系統就會強行寫入隱藏碼。
雖然並不會帶來什麼害處，不喜歡被寫入的話可以用相關工具來移除掉。
[url]http://en.wikipedia.org/wiki/SecuROM[/url]

還有樓主安裝5、6個以上的保安程式，可能是這個問題導致你的 Windows Defenders 無法正常啟動。
裝數個保安程式不代表會越安全，如果使用不當中毒的幾率還是很大。且開啟太多實時監控程式，只會讓系統更不穩定、佔資源、拖慢處理器。
建議保留一個防毒軟體和一個防火墻就好。最重要還是培養良好的使用習慣，這才是最佳保護系統的方法。[/QUOTE]

[COLOR="Blue"]太棒了，非常感謝！我想戰零妳已經解答並證實了我的疑惑，這應該是微軟的Windows live messenger v8.1在作怪，messenger啟動後自動連上level3.com:80，然後由svchost.exe自動從level3.com:80下載了Windows live messenger v8.5的安裝程式(Install_WLMessenger.exe 19.2MB)，行為跟資料大小都符合戰零的說明跟我的描述。[/COLOR]

[B]也就是微軟的Windows live messenger 8.1在未告知使用者並未經同意的狀況下，擅自聯外下載檔案，這可能導致安全性缺失也涉及法律問題。[/B]

我已經打算移除Windows live messenger 8.1，改裝aMSN！抱歉浪費了各位高手寶貴的時間。