瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

«1617181920212223   20  /  23  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

收藏
孤身只影
头像
初生襁褓狮
  • 帖子:32
  • 注册: 2006-03-19
  • 来自:
发表于: 2006-03-22 01:24 | 短消息 资料
字号: 191楼

楼主大哥,我下载Autoruns后解压出来有两个".exe"文件,一个是autorunsc.exe,另一个是autoruns.exe.这个autoruns.exe打开后和你上面给出的画面是一样的,而另外一个autorunsc.exe双击后出现一个好像是Dos窗口一闪而过就不见了,这会不会是捆绑的木马呀?
gototop
 
网络笨羊
头像
初生襁褓狮
  • 帖子:740
  • 注册: 2005-11-05
  • 来自:
发表于: 2006-03-22 08:14 | 短消息 资料
字号: 192楼

今天仔细把所有的贴都看完了.收获不小啊.
gototop
 
网络笨羊
头像
初生襁褓狮
  • 帖子:740
  • 注册: 2005-11-05
  • 来自:
发表于: 2006-03-22 08:55 | 短消息 资料
字号: 193楼

我的IE只要打开任何一个网页(只打开一个网页,之前没有其他任何网络的活动),用netstat -ano命令查看网络连接,经常发现同时有许多TCP连接连接到我的电脑,少则4至5个,多则十几个.连接状态有的是establelished 状态,有的是time wait状态 有的是syn_sent状态.查看这些连接的PID和相关进程,发现相当一部分是iexplore的,还有的就是system的(状态均为time wait),这些IP地址我查了一下,有的是国内的,例如苏州、上海、福建、广州等等。有的是国外的如日本的、美国的、加拿大的。另外.还经常出现的问题是只要我用百度搜霸,防火墙就一定跳出对话框"iexplore.exe正在向202.108.205.204发送UDP信息包"之类的警示.有时打开别的网页也是如此.想问一下,这种情况,是不是ie被插入了反弹木马.以前在反浏览器劫持和本论坛都发过贴.也用HijackThis_V1.99.1扫描了日志让baohe斑竹和魔法学徒斑竹看过,他们都说从日志上看不出问题来.可我总是不放心.想请你帮我再看看.我用ProcessExplorerNt查看了进程中的iexplore.exe.发现正在发送UDP包(当时我正在咱论坛上,没打开别的网页).我截了个图.麻烦你帮我看看.

附件附件:

下载次数:570
文件类型:image/pjpeg
文件大小:
上传时间:2006-3-22 8:55:45
描述:
gototop
 
网络笨羊
头像
初生襁褓狮
  • 帖子:740
  • 注册: 2005-11-05
  • 来自:
发表于: 2006-03-22 09:12 | 短消息 资料
字号: 194楼

这是autoruns日志
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ CmUsbSoundCmiCnfg DLLC-Media Corporationc:\windows\system\cmcnfgu.cpl

+ KAVPersonal50Kaspersky Anti-Virus GUI PartKaspersky Labc:\program files\kaspersky lab\kaspersky anti-virus personal pro\kav.exe

+ MSPY2002c:\windows\system32\ime\pintlgnt\imscinst.exe

+ NeroFilterCheckNeroCheckAhead Software Gmbhc:\windows\system32\nerocheck.exe

+ NvCplDaemonNVIDIA Display Properties ExtensionNVIDIA Corporationc:\windows\system32\nvcpl.dll

+ NvMediaCenterNVIDIA Media Center LibraryNVIDIA Corporationc:\windows\system32\nvmctray.dll

+ nwizNVIDIA nView Wizard, Version 100.35 NVIDIA Corporationc:\windows\system32\nwiz.exe

+ SoundManRealtek Sound ManagerRealtek Semiconductor Corp.C:\WINDOWS\soundman.exe

+ TkBellExeRealNetworks SchedulerRealNetworks, Inc.c:\program files\common files\real\update_ob\realsched.exe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动

+ 卡巴斯基反黑客.lnkKaspersky Anti-HackerKaspersky Labc:\program files\kaspersky lab\kaspersky anti-hacker\kavpf.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Desktop ExplorerNVIDIA Desktop Explorer, Version 100.35 NVIDIA Corporationc:\windows\system32\nvshell.dll

+ Desktop Explorer MenuNVIDIA Desktop Explorer, Version 100.35 NVIDIA Corporationc:\windows\system32\nvshell.dll

+ Display Panning CPL ExtensionFile not found: deskpan.dll

+ HyperTerminal Icon ExtHyperTerminal Applet LibraryHilgraeve, Inc.c:\windows\system32\hticons.dll

+ NvCpl DesktopContext ClassNVIDIA Display Properties ExtensionNVIDIA Corporationc:\windows\system32\nvcpl.dll

+ nView Desktop Context MenuNVIDIA Desktop Explorer, Version 100.35 NVIDIA Corporationc:\windows\system32\nvshell.dll

+ Play on my TV helperNVIDIA Display Properties ExtensionNVIDIA Corporationc:\windows\system32\nvcpl.dll

+ Shell Extensions for RealOne PlayerRealPlayer Shell ExtensionsRealNetworks, Inc.c:\program files\real\realplayer\rpshell.dll

+ WinRAR shell extensionc:\program files\winrar\rarext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Web 文件夹c:\program files\common files\microsoft shared\web folders\msonsext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ AcroIEHlprObj ClassAdobe Acrobat IE Helper Version 6.0 for ActivieXAdobe Systems Incorporatedd:\program files\adobe\reader\activex\acroiehelper.dll

+ IeCatch2 Classjccatch ModuleAmaze Softc:\program files\flashget\jccatch.dll

+ 百度搜霸BaiduBar Modulec:\windows\downloaded program files\baidubar.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ BaiduBarBaiduBar Modulec:\windows\downloaded program files\baidubar.dll

+ FlashGet BarFlashGet IE BarAmaze Softc:\program files\flashget\fgiebar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ &FlashGetFlashGetAmaze Softc:\program files\flashget\flashget.exe

HKLM\System\CurrentControlSet\Services

+ kavsvcKaspersky Anti-Virus ServiceKaspersky Labc:\program files\kaspersky lab\kaspersky anti-virus personal pro\kavsvc.exe

+ Lenovo TV Recodingc:\program files\lenovo\数码家电\lxrecsvr.exe

+ NVSvcProvides system and desktop level support to the NVIDIA display driverNVIDIA Corporationc:\windows\system32\nvsvc32.exe

+ UleadBurningHelperULCDRSvrUlead Systems, Inc.c:\program files\common files\ulead systems\dvd\ulcdrsvr.exe

HKLM\System\CurrentControlSet\Services

+ ac97intcIntel(r) Integrated Controller Hub Audio DriverIntel Corporationc:\windows\system32\drivers\ac97intc.sys

+ ALCXSENSSensaura WDM 3D Audio DriverSensaurac:\windows\system32\drivers\alcxsens.sys

+ ALCXWDMRealtek AC'97 Audio Driver (WDM)Realtek Semiconductor Corp.c:\windows\system32\drivers\alcxwdm.sys

+ ati2mtaaATI RAGE 128 Miniport DriverATI Technologies Inc.c:\windows\system32\drivers\ati2mtaa.sys

+ cmudauC-Media USB Audio WDM DriverC-Media Incc:\windows\system32\drivers\cmudau.sys

+ CX23880CxVCap, Video Capture Driver, Official BuildConexant Systems, Inc.c:\windows\system32\drivers\cx88vid.sys

+ CX88XBARCxXBar, Crossbar Driver, Official BuildConexant Systems, Inc.c:\windows\system32\drivers\cx88xbar.sys

+ CXTUNECxTuner, Tuner Driver, Official BuildConexant Systems, Inc.c:\windows\system32\drivers\cx88tune.sys

+ GMSIPCIFile not found: G:\INSTALL\GMSIPCI.SYS

+ Kl1Kaspersky Anti-Hacker Only DriverKaspersky Labc:\windows\system32\drivers\kl1.sys

+ Klifspuper-ptorKaspersky Labsc:\windows\system32\drivers\klif.sys

+ KlmcKaspersky Anti-Virus Mail Checker ProxyKaspersky Labc:\windows\system32\drivers\klmc.sys

+ KlpfklpfKLc:\windows\system32\drivers\klpf.sys

+ KlpidklpidKLc:\windows\system32\drivers\klpid.sys

+ KRegExFile not found: C:\WINDOWS\system32\drivers\KRegEx.sys

+ LenovoFc:\windows\system32\drivers\lenovof.sys

+ LenovoRc:\windows\system32\drivers\lenovor.sys

+ MarsUsbUSB remote receive and control device driverBitland Information Technology Co.,Ltdc:\windows\system32\drivers\marsusb.sys

+ nvNVIDIA Compatible Windows 2000 Miniport Driver, Version 71.84 NVIDIA Corporationc:\windows\system32\drivers\nv4_mini.sys

+ PtilinkDirect Parallel Link DriverParallel Technologies, Inc.c:\windows\system32\drivers\ptilink.sys

+ PxHelp20Px Engine Device Driver for Windows 2000/XPSonic Solutionsc:\windows\system32\drivers\pxhelp20.sys

+ RTL8023Realtek 10/100/1000 NDIS 5.1 Driver                        Realtek Semiconductor Corporation                          c:\windows\system32\drivers\rtlnic51.sys

+ rtl8029NDIS 5.0 driverRealtek Semiconductor Corporationc:\windows\system32\drivers\rtl8029.sys

+ rtl8139Realtek RTL8139 NDIS 5.0 DriverRealtek Semiconductor Corporationc:\windows\system32\drivers\rtl8139.sys

+ SecdrvSafeDisc driverc:\windows\system32\drivers\secdrv.sys

+ SkkbdfPS/2 Keyboard Filter Driver for Win2000Silitek Corp.c:\windows\system32\drivers\skkbdf.sys

+ VIAudioVIA Audio WDM Driver VIA Technologies, Inc.c:\windows\system32\drivers\ac97via.sys

HKCU\Control Panel\Desktop\Scrnsave.exe

+ C:\WINDOWS\自然风光.scr幸福相册屏保联想(北京)有限公司c:\windows\自然风光.scr
gototop
 
网络笨羊
头像
初生襁褓狮
  • 帖子:740
  • 注册: 2005-11-05
  • 来自:
发表于: 2006-03-22 09:14 | 短消息 资料
字号: 195楼

procexp日志
Process    PID    CPU    Description    Company Name
System Idle Process    0    95.10       
Interrupts    n/a    0.98    Hardware Interrupts   
DPCs    n/a    0.98    Deferred Procedure Calls   
System    4           
  SMSS.EXE    512        Windows NT Session Manager    Microsoft Corporation
  CSRSS.EXE    580        Client Server Runtime Process    Microsoft Corporation
  WINLOGON.EXE    604        Windows NT Logon Application    Microsoft Corporation
    SERVICES.EXE    652    1.96    Services and Controller app    Microsoft Corporation
    SVCHOST.EXE    812        Generic Host Process for Win32 Services    Microsoft Corporation
    SVCHOST.EXE    860        Generic Host Process for Win32 Services    Microsoft Corporation
    SVCHOST.EXE    924        Generic Host Process for Win32 Services    Microsoft Corporation
    SPOOLSV.EXE    1172        Spooler SubSystem App    Microsoft Corporation
    KAVSVC.EXE    1328        Kaspersky Anti-Virus Service    Kaspersky Lab
    lxRecSvr.exe    1356           
    NVSVC32.EXE    1384        NVIDIA Driver Helper Service, Version 71.84    NVIDIA Corporation
    SCCMonitor.exe    1408           
      LenovoSmartControlCenter.exe    1540           
    ULCDRSvr.exe    1484        ULCDRSvr    Ulead Systems, Inc.
    WDFMGR.EXE    1528        Windows User Mode Driver Manager    Microsoft Corporation
    SVCHOST.EXE    3620        Generic Host Process for Win32 Services    Microsoft Corporation
    LSASS.EXE    664        LSA Shell (Export Version)    Microsoft Corporation
EXPLORER.EXE    1272        Windows Explorer    Microsoft Corporation
Skdaemon.exe    244        Skdaemon Microsoft 基础类应用程序   
RUNDLL32.EXE    252        Run a DLL as an App    Microsoft Corporation
RUNDLL32.EXE    260        Run a DLL as an App    Microsoft Corporation
SOUNDMAN.EXE    268        Realtek Sound Manager    Realtek Semiconductor Corp.
LenovoHD.exe    292        联想安全中心    Lenovo
  LenovoHDPro.exe    1696        LenovoHDPro Microsoft 基础类应用程序   
realsched.exe    372        RealNetworks Scheduler    RealNetworks, Inc.
KAV.EXE    400        Kaspersky Anti-Virus GUI Part    Kaspersky Lab
CTFMON.EXE    408        CTF Loader    Microsoft Corporation
MSMSGS.EXE    424        Windows Messenger    Microsoft Corporation
KAVPF.exe    1220        Kaspersky Anti-Hacker    Kaspersky Lab
iexplore.exe    3052        Internet Explorer    Microsoft Corporation
  flashget.exe    1648        FlashGet    Amaze Soft
autoruns.exe    3824        Autostart program viewer    Sysinternals - www.sysinternals.com
procexp.exe    3904    0.98    Sysinternals Process Explorer    Sysinternals
CONIME.EXE    3452        Console IME    Microsoft Corporation
gototop
 
友好人士
头像
锋芒艾服狮
  • 帖子:1287
  • 注册: 2005-12-21
  • 来自:
发表于: 2006-03-22 13:15 | 短消息 资料
字号: 196楼

引用:
【孤身只影的贴子】楼主大哥,我下载Autoruns后解压出来有两个".exe"文件,一个是autorunsc.exe,另一个是autoruns.exe.这个autoruns.exe打开后和你上面给出的画面是一样的,而另外一个autorunsc.exe双击后出现一个好像是Dos窗口一闪而过就不见了,这会不会是捆绑的木马呀?
...........................

我也发现这种情况,不过解压后我用记事本打开粗略检查了一下好像两个可执行文件都没什么异常,由于不是很放心我试着把它卸载,可以卸完.我也想问问autorunsc.exe是什么?
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-22 14:28 | 只看楼主 短消息 资料
字号: 197楼

引用:
【孤身只影的贴子】楼主大哥,我下载Autoruns后解压出来有两个".exe"文件,一个是autorunsc.exe,另一个是autoruns.exe.这个autoruns.exe打开后和你上面给出的画面是一样的,而另外一个autorunsc.exe双击后出现一个好像是Dos窗口一闪而过就不见了,这会不会是捆绑的木马呀?
...........................


autorunsc.exe是一个控制台程序,也就是说你需要在CMD中运行它

具体可参考123

PS:这位朋友和“友好人士”朋友好像看贴看的不够仔细啊
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-22 14:40 | 只看楼主 短消息 资料
字号: 198楼

【回复“网络笨羊”的帖子】
127.0.0.1是本机的默认IP地址,写在%systemRoot%\system32\drivers\etc目录下的hosts文件中。

至于你191楼的IE建立的UDP连接应该没什么问题,并且从Autoruns日志中也未发现什么可疑的启动项

如果你对你的机子还是不放心,可以参考一下http://forum.ikaka.com/topic.asp?board=28&artid=7538008
希望有所帮助
gototop
 
孤身只影
头像
初生襁褓狮
  • 帖子:32
  • 注册: 2006-03-19
  • 来自:
发表于: 2006-03-22 15:18 | 短消息 资料
字号: 199楼

【回复“BlackStone”的帖子】哦,原来这样,哪我不进行123楼的操作而仅仅使用Autoruns.exe,它的功能不会受影响吧?那个Autorunsc.exe我不管它行吗?
gototop
 
风飘飘158
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2006-03-31
  • 来自:
发表于: 2006-03-31 23:13 | 短消息 资料
字号: 200楼

恩 不错 坐下来看看~~
gototop
 
<<上一主题|下一主题>>
«1617181920212223   20  /  23  页   跳转
页面顶部
Powered by Discuz!NT