追踪病毒时出现问题 - services.exe 端口 443 和 svchost.exe 端口 25 + 80

追踪病毒时出现问题 - services.exe 端口 443 和 svchost.exe 端口 25 + 80

嘿,我正在运行 XP SP3 系统,并安装了所有最新更新。看来我中了病毒,而且很难追踪到它。

我有一些出站连接;services.exe 连接到某些地址的端口 443 并保持连接,而一些 svchost.exe 实例会产生到某些地址的端口 25 和 80 的瞬时连接。

我试图分析流量;端口 80 连接似乎不是 HTTP,端口 25 连接从未成功,我猜测 443 是加密的。

我以前有过一个恶意的 svchost.exe 正在运行的情况(Process Explorer 将其标记为白色,我追踪了 .sys 文件并将其删除),但现在我的所有服务似乎都是合法的。services.exe 正在运行事件日志即插即用但我无法弄清楚 svchost.exe 的哪个实例正在建立连接。

假设我的系统可执行文件没有被篡改,那么应该没有那么多服务可以被诱导去执行病毒的任务,不是吗?那么我应该怀疑什么?有什么明显的地方可以检查吗?有什么流行的病毒会建立这种联系吗?

我没有运行任何 AV 软件,也不太喜欢专门的 rootkit 检测软件;它们都运行在黑名单和启发式算法上。我这里看到的是一个明确的症状,我准备去寻找原因。任何帮助都将不胜感激。

编辑:我刚想起 TCPView 显示了 PID,并追踪了 svchost.exe 实例 - 两个我没注意到的恶意程序,它们没有运行任何系统服务。我遇到了和以前一样的问题,它使用一个随机的 8 个字母名称注册了一个服务,而该服务的注册表项无法使用常规注册表编辑工具查看或更改。我可以再次修复这个问题,但如果有人能告诉我为什么它一直出现,或者与 services.exe 有关,我将不胜感激。

另一项编辑:现在 services.exe 已经疯了;它到处打开 TCP 端口 80 连接,实际上占用了我相当多的带宽。什么可能导致这种行为?

我发现了另一个使用 NTFS 数据流的恶意服务,名为 svchost.exe:ext.exe(顺便说一下,其名称是“FCI”)并将其删除,但 services.exe 仍然没有找到。

最终编辑:我按照我在回答中描述的方式解决了我的问题,并借助了 @Moab 建议的工具。我仍然对这个东西最初是如何感染我的感兴趣。我把这个问题留到几天后再回答,以防有人除了 GMER、Process Explorer、TCPView 等之外还向我推荐一些取证工具,或者识别出这个 rootkit。

答案1

任何被编程用来使用它的软件或恶意软件都可以使用 svchost.exe。

我建议使用 rootkit 扫描器来查看是否存在

http://www.gmer.net/

然后使用 MBAM 免费版进行跟进,使用更新选项卡安装和更新程序 http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

和 SAS http://download.cnet.com/SuperAntiSpyware-Free-Edition/3000-8022_4-10523889.html

是的,您可以怀疑 services.exe 已被修补为恶意软件,SFC 应该会检测到这一点并替换该文件,除非它受到恶意软件另一部分的保护。

答案2

保存数据并重新加载系统。清除主要病毒感染所需的时间比重新加载系统所需的时间要长。此外,您永远不知道是否已经全部清除……

答案3

解除我的黑客攻击及其同伴 RegRun Reanimator 检测到了一些问题,包括具有随机 8 个字母名称的恶意服务以及注定要在启动时运行的 .exe。当我指示其启动时 NT 程序在启动时删除驱动程序时,它会重命名 system32\drivers 目录(是的,就是目录本身),导致系统无法启动,所以要小心。

我修复了驱动程序问题密码恢复Linux启动CD它不是为这项任务而设计的,但很快就被一些小黑客攻击所利用。(进入 shell,执行 /scripts/disk.sh 来挂载分区,然后执行普通的ls/ mv。)我将使用相同的方法删除 UnHackMe 找到的文件。

相关内容