原创【分析端口找木马】第一次用TCPVIEW就被我抓到了一个木马!!呵呵
原来就知道通过分析端口能比较容易滴找出木马,但是一直没时间去研究一下,昨天晚上刚好有空,一时心血来潮就想来研究一下,我分析端口使用的工具是TCPVIEW,因为我感觉用这个软件的人似乎很多,呵呵,跟着大家走。。
首先打开TCPVIEW,稍微看了一下居然就被我发现了问题:EXPLORER.EXE已经和某IP地址建立了连接,状态是ESTABLISHED
我的印象里是EXPLORER.EXE在很少的情况下才会访问网络(比如:打开我的电脑,即打开资源管理器,在地址栏里输入某网址的情况下EXPLORER.EXE才会访问网络),但问题是我没有开资源管理器,把与EXPLORER.EXE建立连接的那个远程IP地址222.73.5.211复制下来,到网上查一下发现是上海市中国电信的用户。至此我觉得很可能我的电脑中了木马,于是我开始了我的杀马之旅:
第一步:先看进程,没发现什么问题,估计是木马注入了EXPLORER.EXE进程,那么在EXPLORER.EXE的进程模块里应该能找到蛛丝马迹,用瑞星的卡卡上网助手查看EXPLORER.EXE进程里的模块,通过对模块里文件的修改时间的排序,马上就看到一个可疑的文件:isignup.sys
它的修改日期是昨晚9点多钟的,进入它所在的文件夹,查看它的具体属性,只有常规选项卡,一般说来,SYS文件都会有版本选项卡,这个明显可疑,然后在GOOGLE里搜索这个文件,果然发现它就是病毒:Trojan.PSW.OnlineGames
然后用卡卡助手的查找模块功能发现被isignup.sys注入的进程还真不少!!
第二步:既然找到了木马,那么下一步就是看看这个木马是如何在电脑启动的时候注入到EXPLORER.EXE里面去的,在注册表里搜索isignup.sys,找到几个,列出一个重要的:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{B8a170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\program files\Common~1\System\..\System\..\System\isignup.sys> [N/A]
既然木马原体找到了,启动方式也找到了,那么清除起来就简单了,到安全模式下删除木马原体,清除木马相关的注册表里的项,然后更新杀毒软件,全盘查毒。。。。
我现在为了发这个帖子,从昨晚发现到现在还没有删掉这个木马,不知道这样做是不是就完全删除病毒了,请达人指教一下!!
