會員 | 【問題】使用tcpview會看到一堆smtp的連線 小弟最近覺得網路怪怪的使用tcpview一查之下才發現有許多的smtp在偷跑。 原本剛連上網時網路一切都ok,過沒多久,網路的上傳就會開始遠大於下載, 用tcpview查 看才發現怎麼會有這麼多的smtp在跑,每次的smtp遠端ip位置都不一樣,在更早之前沒有這些問題。 以下是由tcpview所copy下來的一些記錄。 [System Process]:0 TCP bwd:1493 mail.conservatek.com:smtp TIME_WAIT [System Process]:0 TCP bwd:1490 smtp37.redcondor.net:smtp TIME_WAIT [System Process]:0 TCP bwd:1498 mail-mx-5.tiscali.it:smtp TIME_WAIT [System Process]:0 TCP bwd:1367 tc-in-f166.google.com:http TIME_WAIT [System Process]:0 TCP bwd:1496 mail04.mexis.com.mx:smtp TIME_WAIT [System Process]:0 TCP bwd:1522 antispam4.its.unimelb.edu.au:smtp TIME_WAIT [System Process]:0 TCP bwd:1523 mail5.zoneedit.com:smtp TIME_WAIT [System Process]:0 TCP bwd:1555 mail.web4u.cz:smtp TIME_WAIT [System Process]:0 TCP bwd:1553 mx.relay.orange-business.com:smtp TIME_WAIT [System Process]:0 TCP bwd:1563 smtp2.mail.sizeit.se:smtp TIME_WAIT svchost.exe:1084 TCP bwd:1229 e35.co.us.ibm.com:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1278 postfix3.vitro.epldt.net:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1334 vmailpx2.mvnet.de:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1424 mta-v8.mail.vip.mud.yahoo.com:smtp ESTABLISHED svchost.exe:1084 TCP bwd:ingreslock cluster.groups.msn.com:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1541 e4.ny.us.ibm.com:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1550 ms3a.hinet.net:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1548 cluster.groups.msn.com:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1557 relay-par1-neuf.relay.n9uf.net:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1564 lvps80-237-161-54.dedicated.hosteurope.de:smtp ESTABLISHED svchost.exe:1084 TCP bwd:1573 ms62a.hinet.net:smtp ESTABLISHED 以有爬文過...但找不到解答只好請求各大大的協助。小弟在此先謝過了 |
回覆 |
會員 | 回覆: 【問題】使用tcpview會看到一堆smtp的連線 中毒或被裝了木馬吧. 通常是被用來發廣告信. |
回覆 |
會員 | 回覆: 【問題】使用tcpview會看到一堆smtp的連線 小弟裝的是nod32 2.7版 試過線上掃毒 也用過掃木馬的程式但..都沒有說有中毒呀 |
回覆 |
校長兼撞鐘 | 回覆: 【問題】使用tcpview會看到一堆smtp的連線 有人問過 , 但沒有回答 http://www.pczone.com.tw/vbb3/thread/28/136214 不過看起來八九成是中標了 也許是 spambot 導致一直發信 你系統有這兩個檔案嗎? (正常電腦不會存在這兩個檔案) c:\windows\system\smss.exe c:\windows\system32\nvsvcd.exe 剛找過往上一些資料 , 沒找到正確或相近的狀況 建議 ghost 還原或者重灌比較快解決 |
回覆 |
會員 | 對於潛伏的病毒, 小弟習慣以人工智慧(就是人腦啦)分析Sysinternals AutoRuns 執行後的結果, 此招只對單細胞病毒有效, 對於Rootkit 就沒轍了 |
回覆 |
會員 | 回覆: 【問題】使用tcpview會看到一堆smtp的連線 那個狀況有可能是被植入木馬 大陸軟體特別愛搞這個 (不然那些發不完的廣告信哪寄出的 XD) 不過是svchost.exe?已經變成系統服務?(除非是同名但不同路徑的檔案) 跟FYI大一樣 這個通常都是要人去分析 不過我偏愛Prcview XD PS:靠防毒軟體是沒用的,最強且最終的防線是自己 |
回覆 |
會員 | 檢查 "系統管理工具" 之下的 "服務" 是否有用? 用Process Explorer 觀察更直接 |
回覆 |
會員 | 回覆: 【問題】使用tcpview會看到一堆smtp的連線 Prcview的最大功能是: 執行程式的追蹤(Process Monitor) 從一開機就執行的程式到工作管理員裡看不到的執行序, 通通都可以記錄下來 Process Explorer的功能是: 很明白的顯示出,是哪個程式呼叫或執行了哪個程式 XD |
回覆 |
會員 | 回覆: 【問題】使用tcpview會看到一堆smtp的連線 我上次中過! 中了病毒, 各種線上掃毒都掃過, 掃不出來. 所以重灌啦! 注意!重灌前, 系統還原關閉. 所有硬碟都重新 format. |
回覆 |
會員 | 回覆: 【問題】使用tcpview會看到一堆smtp的連線 最後小弟以format c:重灌才解決... 之前在google尋找有關類似的東西 多年前也有發生過那時的名稱叫"諾維格" 這次完全找不到是什麼毒呀.. c:\windows\system\smss.exe 上述這個檔案,重灌完就會有... svchost.exe此服務小弟也找過,它的位置沒有變動過 謝謝各位大大的熱心協助,謝謝哩 ps目前小弟改用pctav此套防毒在測試中 |
回覆 |
|
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。