12   1  /  2  页   跳转

莫名程序要求打开端口

莫名程序要求打开端口

访问不知名网站时中了木马,全盘查杀之后,木马都被清除了。可是,重启电脑后在C:\WINDOWS里有一个4个英文字母的exe文件,要求连接local 1103=> 127.0.0.1:1025。拒绝之后,关闭系统进程,然后删除该文件。重启电脑之后,在C:\WINDOWS里又生成了一个和刚才不同名字的exe文件,依然要求连接。重复操作还是没法解决,每次开机之后都会生成一个新的exe文件在C:\WINDOWS里。有人知道如何解决该问题么?

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
分享到:
gototop
 

回复: 莫名程序要求打开端口

有朋友能帮助指点一下,这是怎么个情况,该怎么解决呢?谢谢
gototop
 

回复:莫名程序要求打开端口

扫SRENG日志发这论坛来
下载新SRENG2.6版工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=405754(点右键菜单“目标另存为”下载)

1 下载的是压缩包,必须解压缩(建议直接解压到系统Windows文件夹里)
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告(必须保存)

然后直接将日志文件以附件的形式发这论坛来。
点击:我回的贴的右下角的“引用”,然后就应该知道怎么以附件发了。

(注意:SRENG工具的“入口点错误”提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示,可以不管它,请不要为这问题反复询问。)

SRENG工具的一些操作,看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么?
http://bbs.ikaka.com/showtopic-8509685.aspx
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 莫名程序要求打开端口



引用:
原帖由 天月来了 于 2008-6-26 8:33:00 发表
扫SRENG日志发这论坛来
下载新SRENG2.6版工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=405754(点右键菜单“目标另存为”下载)

1 下载的是压缩包,必须解压缩(建议直接解压到系统Windows文件夹里)
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

回复:莫名程序要求打开端口

找到F盘里的文件
Install.exe

压缩发送到:可疑文件区
gototop
 

回复: 莫名程序要求打开端口



引用:
原帖由 小日来了 于 2008-6-26 10:35:00 发表
找到f盘里的文件
install.exe

压缩发送到:可疑文件区


f盘的install.exe是一个网游的安装程序。刚才我发现,我打开瑞星的时候好像才会出现那个莫名程序要求打开1025端口,但我运行sre扫描日志的时候sre也要求打开1025端口.我把flash的补丁都装了,又下了木马群的专杀但是问题没解决。我又扫了一遍日志,我把那个生成的exe文件发给你们,请帮忙分析一下,感谢。

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

回复: 莫名程序要求打开端口

而且那个exe文件,瑞星没有报毒,但是qq医生检测为木马...
gototop
 

回复:莫名程序要求打开端口

我又发现了,开exe文件好像是每次网络成功连接之后,才会重新生成一个。因为我在重启路由器,而没有重启电脑的情况下,生成了一个新的文件
gototop
 

回复:莫名程序要求打开端口

版主在么,我上穿了生成的文件和日志,还有你要求的一个文件,帮我看看
gototop
 

回复:莫名程序要求打开端口

c:\windows\srsi.exe
c:\windows\system32\jfdses.dll
c:\windows\system32\tdggrz.dll
mmhadpqg1097.dll

还有这些,也粉碎了
制兹八拍兮拟排忧,何知曲成兮心转愁
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT