真命小虫 - 2005-8-5 20:37:00
这两天被病毒搞得很 糗
现在系统已经差不多恢复健康了,现在又出现一个问题:
上网一段时间后,瑞星防火墙会报告本地的ftp.exe正试图连接某个陌生的ip,tftp.exe正准备向某个ip发数据包。(之前没装防火墙时是删除掉的symantecblows.exe上网后又出现)防火墙提示是 允许 还是 拒绝,不管选哪个系统都会一下变慢,断开网络也不行,之后只能重启。
后查看瑞星防火墙 日志发现下图信息:(点击图片看得更清楚)
附件:
555410200585203712.JPG
只许州官放火 - 2005-8-5 20:43:00
安全模式下删除它
真命小虫 - 2005-8-5 20:46:00
后来我用 “瑞星防火墙”的ip规则禁止访问我的tcp及udp的1241及1243。
还是出现了上述现象,查看日志发现还是在连接:(点击看图更清楚)
附件:
555410200585204622.JPG
baohe - 2005-8-5 20:49:00
【回复“真命小虫”的帖子】
system32下的ftp.exe和tftp.exe都是系统文件。被“鬼”附身了吧?
扫HijackThis日志贴上来看看。
真命小虫 - 2005-8-5 21:14:00
根据它们的位置是否就能判断它们被鬼附身还是本身就是鬼?
删除它们之后出现系统报错:
附件:
555410200585211416.BMP
baohe - 2005-8-5 21:16:00
| 引用: |
【真命小虫的贴子】根据它们的位置是否就能判断它们被鬼附身还是本身就是鬼?
删除它们之后出现系统报错:
........................... |
跟你说是“被鬼附身”——你不信。
真命小虫 - 2005-8-5 21:19:00
我现在还有这两个文件的备份(本来准备报给瑞星的)。我要不要把这两个文件放回原处呢?
矛盾啊~
真命小虫 - 2005-8-5 21:29:00
| 引用: |
【baohe的贴子】
跟你说是“被鬼附身”——你不信。
........................... |
我错了……
不知道你有没有注意到第一张图里ftp.exe连接的[backdoor/subseven木马]?
真命小虫 - 2005-8-5 21:40:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 21:37:31, 日期 2005-8-5
操作系统: Windows XP (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 (6.00.2600.0000)
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [TotalRecorderScheduler] "d:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [dl_accel] C:\Program Files\3721\Dlaccel\YDownloader.exe
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [RavTimer] I:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] I:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "I:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\RunServices: [Net] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
真命小虫 - 2005-8-5 22:30:00
HijackThis内容传上来了,有什么可疑程序吗?
baohe - 2005-8-5 22:33:00
| 引用: |
【真命小虫的贴子】HijackThis内容传上来了,有什么可疑程序吗?
........................... |
“鬼”在这里——O4 - 启动项HKLM\\RunServices: [Net] C:\WINDOWS\services.exe。
建议你找到C:\WINDOWS\services.exe,用WINRAR打包,作为回帖的附件传上来。我想看看这个东东。
真命小虫 - 2005-8-5 22:47:00
我就纳闷了C:\WINDOWS\services.exe找不到
在C:\WINDOWS\system32\有services.exe,我想肯定不是!
baohe - 2005-8-5 22:56:00
| 引用: |
【真命小虫的贴子】我就纳闷了C:\WINDOWS\services.exe找不到
在C:\WINDOWS\system32\有services.exe,我想肯定不是!
........................... |
木马文件一般都是隐藏的。设置一下“文件夹选项”的“查看”设置,才能找到。这是常识。
真命小虫 - 2005-8-5 23:06:00
C:\WINDOWS\services.exe
这个文件确实找不到,在killbox里直接输入log日志给出的路径,再按删除,提示文件不存在。
在icesword里按目录去找,找不到。
baohe - 2005-8-5 23:09:00
| 引用: |
【真命小虫的贴子】C:\WINDOWS\services.exe
这个文件确实找不到,在killbox里直接输入log日志给出的路径,再按删除,提示文件不存在。
在icesword里按目录去找,找不到。
acdsee里打开“显示隐藏文件”也没有。
........................... |
算了!直接用IceSword宰了它吧。我也不要样本了。
真命小虫 - 2005-8-6 9:48:00
关键是这个文件在icesword里找不到,但是启动木马克星也显示在扫描c:\windows\services.exe。(发现它扫描的是启动项里的栏目)
附件:
55541020058694824.bmp
真命小虫 - 2005-8-6 12:40:00
查了一下:
Ftp.exe 文件传输程序
tftp.exe 小文件传送协议,允许将文件传送给tftp服务器
是被某个 鬼 “附身”了,我删除之后系统没什么影响,不知要不要把它们恢复到原来的位置?(估计恢复之后,它们又会被利用)
© 2000 - 2026 Rising Corp. Ltd.