|
|
因为下载了一些软件试用,感觉系统好像不太对头。于是打开NOD32对C盘进行深入扫描,倒是没有发现病毒。
不过在扫描过程中,有一行错误信息引起了我的兴趣:
C:\WINDOWS\FTP - 开启 (档案被锁定)时发生错误。 [4]
奇怪,我不记得C:\WINDOWS 下面有FTP文件啊,而且还没有后缀名,而且居然还是被锁定的,也就是说有程序
正在使用这个文件。
可疑!!
于是进入C:\WINDOWS\ 下面寻找这个文件,怪了,没有啊。显示隐藏文件,再找,没有。显示受保护的操作系统文件,
好了,这下出来了。好家伙,还装成系统文件了,不过创建日期出卖了它,果然可疑。
用Unlocker查看是谁在用FTP文件,奇怪,是iexplore.exe,路径也正确 C:\Program Files\Internet Explorer\iexplore.exe
不管,先解除锁定。再用AVG Anti-Spyware扫描这个可疑的FTP,哈哈,这下报警了:
---------------------------------------------------------
AVG Anti-Spyware - 扫描报告
---------------------------------------------------------
+ 创建时间: 19:52:10 2007-3-22
+ 扫描结果:
C:\WINDOWS\FTP -> Backdoor.Hupigon.awp : 已清除并备份(已隔离).
::报告结束
好像是木马之类的东东。
不过这还没完,这个东西是被iexplore.exe使用的,可是在进程管理器里面却没有iexplore.exe进程。
幸好我还有IceSword,用IceSword查看一下进程,呵呵,果然,有一个iexplore.exe进程在隐藏着。
不过这个进程怎么看都是正常的,显示的地址也就是C:\Program Files\Internet Explorer\iexplore.exe
而且我无论用杀软怎么扫描都没有任何的报警信息,真是见鬼了
这个时候,嘿嘿,我就想到了我的科来,赶快拿出科来,使用本机MAC地址过滤数据包,只抓本机的网络数据包。
果然看出了一些不对劲的地方,我的机器不断的试图和一个某个网站连接,想要这样:
GET /bbs/ip/ip.txt
并且端口在不停的换。
这个我真的搞不懂了,我把捕获得数据包放上来,希望能够有人知道这是怎么回事
期待牛人出现!
我把AVG anti-spyware隔离区的文件压缩放上来了,包括我的IE,大家看看吧。
对了,我的系统是WindowsXP SP2,并且开了自动更新。
[ 本帖最后由 sungoku 于 2007-3-25 11:12 编辑 ] |
|
发表于 2007-3-22 20:42:05
