他會替月亮懲罰你 | 【問題】煩請高手幫我看看XP的System出了什麼問題... 狀況: X1. (刪除) 2. Windows XP system的svchost.exe常常(嚴格說起來是偶爾)會出現從美國的某IP下載資料的情形.unknow_trojan.png X3. (刪除) (更正: sp??.sys就是sptd.sys, 是DAEMON tools的一部份, 已解決) 我的PC系統: Windows XP pro SP2 Windows Defender 1.1防惡意程式(微軟的) AntiVIR PE v7+ AVG v7.5雙防毒, AntiVIR常駐, 無效(非商用免費版防毒) COMODO Firewall pro 3(非商用免費版防火牆) SeedNet撥接式ADSL上網, 搭載cFosSpeed v4.06 +PeerGuardian 2(IP防火牆) 該程式所連接的美國IP資料: OrgName: Level 3 Communications, Inc. OrgID: LVLT Address: 1025 Eldorado Blvd. City: Broomfield StateProv: CO PostalCode: 80021 Country: US NetRange: 205.128.0.0 - 205.131.255.255 CIDR: 205.128.0.0/14 NetName: LVLT-ORG-205-128 NetHandle: NET-205-128-0-0-1 Parent: NET-205-0-0-0-0 NetType: Direct Allocation NameServer: NS1.LEVEL3.NET NameServer: NS2.LEVEL3.NET Comment: RegDate: Updated: 2004-06-04 OrgAbuseHandle: APL8-ARIN OrgAbuseName: Abuse POC LVLT OrgAbusePhone: +1-877-453-8353 OrgAbuseEmail: [email protected] OrgTechHandle: ARINC4-ARIN OrgTechName: ARIN Contact OrgTechPhone: +1-800-436-8489 OrgTechEmail: [email protected] OrgTechHandle: TPL1-ARIN OrgTechName: Tech POC LVLT OrgTechPhone: +1-877-453-8353 OrgTechEmail: [email protected] # ARIN WHOIS database, last updated 2008-03-08 19:10 # Enter ? for additional hints on searching ARIN's WHOIS database. ******************************************************************************** 此篇文章於 2008-03-18 10:45 PM 被 大灰芒果 編輯。. 原因: 更正 |
回覆 |
東邪仙劍 | 回覆: 【問題】煩請高手幫我看看XP的System出了什麼問題... 1.可能被人植入了木馬或蠕蟲 2.該木馬或蠕蟲,spur應是假名稱,要找第一個源頭的程式, 也就是連接那個網站的程式,只是這不容易找.... 3.檢查註冊機碼啟動部份的內容值 4.找hijackthis或sysbot程式偵測看看 5.找process explorer 程式偵測看看 6.回想看看,最近安裝了那些程式或上那些程式? 以上大概就這樣了,如果沒辦法的話, 就用windows 防火牆把那個程式或通訊埠或ip給暫時封了吧... |
回覆 |
他會替月亮懲罰你 | 回覆: 【問題】煩請高手幫我看看XP的System出了什麼問題... 引用:
PS. 我有在用eMule跟BT. 已用過AutoRuns, HijackThis, 但找不到異狀, 這是剛剛用RootKit Revealer 1.71掃瞄的結果…rootkit_revealer.png (最後兩行是Process Explorer, AVG是防毒, sptd是DAEMON tools的驅動程式, SAC*跟SAI*是我灌完XP就有的, 我也不知道是甚麼) 另外, 它是透過svchost.exe(更正: cports顯示其程式名稱為XP系統服務之一)對外連線, 平時無法發現, 只會偶爾對網路有動作(就是這樣我才能透過cFosSpeed的監視視窗發現), 所以到現在我還是找不到它(用RootKit Revealer 1.71作全系統掃瞄也沒發現), 好像已經嵌入XP的系統核心了... (刪除) 此篇文章於 2008-03-18 10:45 PM 被 大灰芒果 編輯。. 原因: 更正 | |
回覆 |
東邪仙劍 | 回覆: 【問題】煩請高手幫我看看XP的System出了什麼問題... 嗯嗯~ 看了圖片之後,感覺上應該是倒數第三個,那隻程式有問題.... 也許是蠕蟲躲在Perflib_Perfdata.dat裡面,試著刪除看看! 如果不是的話,試著將掃描器驅動程式、eMule跟BT 移除看看, 至於SAC跟SAI,依照機碼,我XP沒有這個東西, 所以沒辦法得知,這是什麼咚咚... 另外,要注意.PF檔案,它是預讀檔,在開啟程式時留下的記錄,以方便下次開啟時可以更快速啟動,所以可能要稍微檢查一下。 以下是參考資料 http://ks.cn.yahoo.com/question/1306071805141.html http://www.pingku.com/question/35193727.html?fr=qrl3 http://www.isacn.org/bbs/lofi.php?t23293.html perfdata, perflib, worm http://www.experts-exchange.com/Secu..._21162014.html |
回覆 |
會員 | 回覆: 【問題】煩請高手幫我看看XP的System出了什麼問題... > 我用RootkitUnhooker發現了不明程式(spur.sys), 不過在工作管理員跟硬碟裡都找不到它, 有沒有人可以幫我, 或是有興趣研究, 我一定會配合, 謝 請問您有將隱藏檔案全部顯示嗎 ? 檔案總管 / 工具-下拉選單 / 資料夾選項, 檢視 標籤 隱藏保護的作業系統檔案 <= 打勾取消 不顯示隱藏的檔案和資料夾 <= 改選 "顯示所有檔案和資料夾" |
回覆 |
他會替月亮懲罰你 | 回覆: 【問題】煩請高手幫我看看XP的System出了什麼問題... |
回覆 |
あなたの家に行く | sc query type= driver > list.txt |
回覆 |
他會替月亮懲罰你 | 回覆: 【問題】煩請高手幫我看看XP的System出了什麼問題... 引用:
X (刪除) rootkit_revealer2.png rootkit_unhooker2-1.png rootkit_unhooker2-2.png PS. 說實話,我很想用RootkitUnhooker把那些掛鉤通通幹掉,但上次我這麼做的結果是得重灌系統… 此篇文章於 2008-03-18 10:39 PM 被 大灰芒果 編輯。. 原因: 更正 | |
回覆 |
東邪仙劍 | 回覆: 【問題】煩請高手幫我看看XP的System出了什麼問題... 引用:
第一張圖,firefox 連接2個埠,一個是1432、另一個是1430,前者為blueberry-lm 即Blueberry Software License Manager,後者為tpdu,即Hypercom TPDU,而Tpdu 是 Transport Protocol Data Unit。這兩個應該問題不大,應該是 cFosSpeed 所使用,非其他木馬軟體常駐,因為圖中的傳輸速率是0,請問您有裝手持式機器連線軟體嗎?或其他的行動裝置驅動程式所使用。 不知道,您是否有檢視系統日誌,看看是否有異常或可疑的資料? 另外,在你的LIST檔案裡面,有Remote Access Auto Connection Driver、Remote Access PPPOE Driver、PptpMiniport,請問您有使用VPN嗎?或著你的ADSL網路是撥接式,同時是直接接到您電腦的網路卡,是這樣嗎?如果不是或沒有的話,這些服務都可以直接關閉。 看起來,你的電腦似乎沒多大問題,整體執行速度應該沒有變慢吧!不過,您如果還是很擔心的話,要找出問題,不怕麻煩的話,要抽絲剝繭,漸漸地把電腦環境回歸到最單純,應該可以找到問題的徵結點,也許您可以這樣做... 1.移除 cFosSpeed ,檢測結果 2.移除 Firefox,檢測結果 3.執行IE,檢測結果 如果 Firefox 會出現那兩個連接埠的資訊,而IE沒有出現的話,那你就要檢查一下Firefox 的外掛或內嵌程式,因為有時候逛一些怪怪的網站,會偷偷幫您安裝至網頁瀏覽器裡面.... 4.建議改變ADSL連接方式,選購一台良好的IP分享器,啟動該分享器內的硬體撥接設定,以NAT連線方式,將網路連接至您的電腦,可能會好一些,當然您電腦內的防毒軟體或防木馬軟體,也不可以少,這樣會安全些。 希望以上對您有所幫助... 此篇文章於 2008-03-13 12:45 PM 被 billyao 編輯。. | |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。