oldhunter - 2009-2-16 23:25:00
发现一个木马,用好几款软件都查不到,不过外国网站上有登记。我用抓包软件抓包,发现这个木马一直向一个地方发包:
==================================================
Index : 3
Protocol : TCP
Local Address : 192.168.1.100
Remote Address : 218.106.193.184
Local Port : 3612
Remote Port : 80
Local Host : svr
Service Name : http
Remote Host :
Packets : 5
Data Size : 354 Bytes
Total Size : 698 Bytes
Capture Time : 2009-2-13 10:45:06:171
==================================================
GET /msopen/Admin.jpg HTTP/1.0
User-Agent: MSDNSurfBear
Host: ieopen.yhgames.com
Pragma: no-cache
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Fri, 13 Feb 2009 02:39:14 GMT
Content-Type: image/jpeg
Accept-Ranges: bytes
Last-Modified: Fri, 17 Oct 2008 09:52:56 GMT
ETag: "e07ca7213e30c91:da0"
Content-Length: 24
......................
请问如何才能解决?
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; CNCDialer; QQDownload 1.7; GTB5; SV1; Maxthon; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
aryda - 2009-2-17 0:13:00
挺有意思的...楼主是用什么软件抓包的?有好的教程吗?发个系统日志..帮你分析你电脑一下...
下载SRENG工具:
http://bbs.ikaka.com/attachment.aspx?attachmentid=462487操作方法可以看这贴2楼:
http://bbs.ikaka.com/showtopic-8442813.aspx建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志,就原贴接贴发日志即可。
oldhunter - 2009-2-19 16:21:00
入口点错误:CreateProcessA (危险等级: 高, 被下面模块所HOOK: 0x010F1FFD)
入口点错误:CreateProcessW (危险等级: 高, 被下面模块所HOOK: 0x010F20E5)
多谢你的回复,呵呵,我用这个软件扫描了一下,好像这个函数被篡改了?
天月来了 - 2009-2-19 16:28:00
那提示和你无关
不需要管它
© 2000 - 2025 Rising Corp. Ltd.