倍可親

標題: 電腦中毒, 大蝦們請救命!!! [列印本頁]

作者: trash 時間: 2005-8-18 10:38
標題: 電腦中毒, 大蝦們請救命!!!
由於厭惡Windows, 我已經轉用Linux. 可是我們家領導喜歡用Windows, 所以我機器上還留著Windows2000(同時還裝著瑞星防火牆和F-secure殺毒軟體). 可是今天發現機器上的Windows2000已經中毒, 癥狀如下:

Task Manager上顯示兩個異常進程: wpa.exe和109.tmp, 用Fport查知, wpa.exe在C:\WINNT\system32\wpa.exe, 109.tmp也在C:\WINNT\system32目錄下, 可是進程wpa.exe和109.tmp根本殺不掉, 在C:\WINNT\system32目錄下居然還找不到wpa.exe(這個木馬真夠狡猾的,我不知道它是怎麼做到的), 文件109.tmp也刪不了. 這個wpa.exe在我機上開了無數個TCP埠, 1260, 1282, 1308,...., 4972, 109.tmp開的埠是25856, 進程詳細情況如下:

Pid Process          Port  Proto Path
216 services    ->  31 TCP C:\WINNT\system32\services.exe
412 svchost       ->  135 TCP C:\WINNT\system32\svchost.exe
8    System       ->  139 TCP
8    System       ->  445 TCP
768 MSTask       ->  1026  TCP C:\WINNT\system32\MSTask.exe
1144  ABAQUSLM    ->  1037  TCP C:\ABAQUS\License\ABAQUSLM.exe
8    System       ->  1041  TCP
1592  wpa          ->  1260  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  1282  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  1308  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  1322  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  1333  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  1356  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  1441  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  1574  TCP C:\WINNT\system32\wpa.exe
.....
6712  BackWeb-7681197->  3974  TCP C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
1592  wpa          ->  3980  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  4027  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  4155  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  4405  TCP C:\WINNT\system32\wpa.exe
216 services    ->  4460  TCP C:\WINNT\system32\services.exe
1592  wpa          ->  4482  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  4526  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  4527  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  4762  TCP C:\WINNT\system32\wpa.exe
1592  wpa          ->  4908  TCP C:\WINNT\system32\wpa.exe
304 109          ->  25856 TCP C:\WINNT\system32\109.tmp
996 lmgrd       ->  27000 TCP C:\ABAQUS\License\lmgrd.exe

8    System       ->  137 UDP
8    System       ->  138 UDP
6712  BackWeb-7681197->  371 UDP C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
8    System       ->  445 UDP
228 lsass       ->  500 UDP C:\WINNT\system32\lsass.exe
1144  ABAQUSLM    ->  1039  UDP C:\ABAQUS\License\ABAQUSLM.exe
1592  wpa          ->  1087  UDP C:\WINNT\system32\wpa.exe

這些進程都一直運行著, 我用ethereal查了一下, 好象是有人在用我機器掃描別的機器. 這個木馬怎麼才能殺掉呢?

作者: trash 時間: 2005-8-18 11:47
我在保護模式下一頓狂刪, 進程里已經沒有這兩個東東了, 可是機器仍然不太正常, 開機時F-Secure依然警告. 在C:\WINNT\system32\裡頭有一個空文件叫win.htm, 抬頭是Henbang AD UpdateVersion, Henbang是什麼東東???? 另外在C:\WINNT\system32\底下又產生了一個NtmsData目錄, 每次刪完, 下次重啟又有了.

作者: pyramide 時間: 2005-8-18 16:32
我的癥狀完全相同，只不過我的是1.tmp， wpa.exe肯定是和哪個進程綁定了，一開機肯定在，哪位高手指點一下，謝謝。

作者: xuliang 時間: 2005-8-20 01:50
標題: 找些殺木馬的工具吧
我用的是pestpatrol
你們說的東西偶沒有領教過，所以不清楚，pestpatrol有沒有用哈!

作者: dullbird 時間: 2005-8-21 23:43
這樣的病毒手動解決沒有太好的辦法，可能殺毒工具也是無能為力，格式化重裝系統吧。

作者: 排毒養顏 時間: 2005-8-24 03:03
你說的其他現象我一頭霧水懂不起，但其中的「Henbang」字眼，對我來說太刻骨銘心了。我也正為莫名其妙中了它的招而束手無策，急盼能在網上搜得破解之道……

「Henbang」是指「很棒俱樂部」。它是「上海很棒信息技術有限公司」的網站域名，網址為「http://club.henbang.net/」。但願這點信息能對你有用。

作者: vbnm122 時間: 2005-8-24 20:33
這是可惡的很棒小秘書。我也中過，重裝的系統。

歡迎光臨倍可親 (https://big5.backchina.com/)