回复: 关于WOW的木马,按照10楼的说法做后,日志附件已经发了!急!!!
不好意思..SREng的日志还是看不出有病毒..版版在上面也帮你看了..他经验比我高很多,很可信的..
在你网络连接记录上,就是第2个(复制后的.txt),我觉得有2个连接有点可疑..
TCP 192.168.1.101:1102 58.218.207.79:80 CLOSE_WAIT 3704
TCP 192.168.1.101:1106 211.103.158.63:80 CLOSE_WAIT 3704
上面记录的意思就是 pid 3704,也就是你sreng日志里面:
PID: 3704 / CMT][E:\World of Warcraft\BigFoot.exe]
你一看就知道是魔兽了,这个程序打开了端口号为80的网络连接,并连接到地址为58.218.207.79和211.103.158.63,这两个地方.
上面的记录有两个可疑的地方.
1 正常的魔兽连接端口号为443. 80这个端口很常用不过这里用起来很奇怪,魔兽的官方曾用过,看网上说好像是bug.木马程序也常利用来传帐号密码的..
2 上面那两个地址并不在魔兽的官方服务器表上,具体见下面的链接.如果你知道你区的服务器地址,你可以自己查证一下.方法是比如在cmd 里面打"ping bbs.ikaka.com" 就可以知道卡卡的ip地址.上面那2个地址在网上根本搜不到,几乎不可能是九城的服务器的.连接的莫名其妙.
魔兽世界服务器IP地址
http://hi.baidu.com/luna_kiss_moon/blog/item/558f26db6aa64460d0164ec2.htmlhttp://zhidao.baidu.com/question/24202385.html?fr=qrl不过很遗憾上面2个疑问没法和你说电脑一定就有木马的..这种情况如果是我个人的话..我会找一些软件来查看是什么程序来打开这两个网络连接的...这已经涉及到比较专业的电脑知识...不推荐为杀个病毒这么费功夫..而且找到的希望似乎不大..我个人的建议是
既然日志挺正常,也就是说电脑开机后是病毒是没有自动运行.个人觉得病毒藏在魔兽的文件夹下.楼主可以把魔兽卸载了.重启后换个位置重新安装.当然也有可能病毒已经不存在了,有点多次一举.楼主请自己考虑一下.
ps;叫楼主重发日志,也没看出问题。白忙一场了,见谅个。
