Windows2000 server 中了木马,且开放了全部权限,请问如何清除?在线等待中(100分)

M

misai

Unregistered / Unconfirmed
GUEST, unregistred user!
木马把硬盘的各个逻辑分区都设为共享,且开放了全部权限,我手工去除共享后,下次启动
又被设为共享,下面是我用FPort v2.0找到的开放端口列表,请大家帮忙看看,究竟哪一个
进程是木马。

FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
600 tcpsvcs -> 7 TCP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 9 TCP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 13 TCP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 17 TCP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 19 TCP E:/WINNT/System32/tcpsvcs.exe
1252 inetinfo -> 21 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
1252 inetinfo -> 25 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
1148 wins -> 42 TCP E:/WINNT/System32/wins.exe
1232 dns -> 53 TCP E:/WINNT/System32/dns.exe
1252 inetinfo -> 80 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
428 svchost -> 135 TCP E:/WINNT/system32/svchost.exe
8 System -> 139 TCP
1252 inetinfo -> 443 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
8 System -> 445 TCP
600 tcpsvcs -> 515 TCP E:/WINNT/System32/tcpsvcs.exe
8 System -> 548 TCP
488 msdtc -> 1025 TCP E:/WINNT/System32/msdtc.exe
1028 MSTask -> 1028 TCP E:/WINNT/system32/MSTask.exe
600 tcpsvcs -> 1029 TCP E:/WINNT/System32/tcpsvcs.exe
1232 dns -> 1032 TCP E:/WINNT/System32/dns.exe
1148 wins -> 1034 TCP E:/WINNT/System32/wins.exe
1252 inetinfo -> 1035 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
784 sqlservr -> 1433 TCP E:/PROGRA~1/MICROS~3/MSSQL/binn/sqlservr.exe
1524 nsum -> 1755 TCP E:/WINNT/System32/WINDOW~1/Server/nsum.exe
488 msdtc -> 3372 TCP E:/WINNT/System32/msdtc.exe
1524 nsum -> 6666 TCP E:/WINNT/System32/WINDOW~1/Server/nsum.exe
884 nscm -> 7007 TCP E:/WINNT/System32/WINDOW~1/Server/nscm.exe
1252 inetinfo -> 7747 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
852 nspmon -> 7778 TCP E:/WINNT/System32/WINDOW~1/Server/nspmon.exe

600 tcpsvcs -> 7 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 9 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 13 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 17 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 19 UDP E:/WINNT/System32/tcpsvcs.exe
1148 wins -> 42 UDP E:/WINNT/System32/wins.exe
1232 dns -> 53 UDP E:/WINNT/System32/dns.exe
600 tcpsvcs -> 67 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 68 UDP E:/WINNT/System32/tcpsvcs.exe
428 svchost -> 135 UDP E:/WINNT/system32/svchost.exe
8 System -> 137 UDP
8 System -> 138 UDP
1104 snmp -> 161 UDP E:/WINNT/System32/snmp.exe
8 System -> 445 UDP
244 lsass -> 500 UDP E:/WINNT/system32/lsass.exe
616 svchost -> 1026 UDP E:/WINNT/System32/svchost.exe
616 svchost -> 1027 UDP E:/WINNT/System32/svchost.exe
1232 dns -> 1030 UDP E:/WINNT/System32/dns.exe
1232 dns -> 1031 UDP E:/WINNT/System32/dns.exe
1148 wins -> 1033 UDP E:/WINNT/System32/wins.exe
232 services -> 1036 UDP E:/WINNT/system32/services.exe
1252 inetinfo -> 1037 UDP E:/WINNT/System32/inetsrv/inetinfo.exe
784 sqlservr -> 1434 UDP E:/PROGRA~1/MICROS~3/MSSQL/binn/sqlservr.exe
616 svchost -> 1645 UDP E:/WINNT/System32/svchost.exe
616 svchost -> 1646 UDP E:/WINNT/System32/svchost.exe
1524 nsum -> 1755 UDP E:/WINNT/System32/WINDOW~1/Server/nsum.exe
616 svchost -> 1812 UDP E:/WINNT/System32/svchost.exe
616 svchost -> 1813 UDP E:/WINNT/System32/svchost.exe
600 tcpsvcs -> 2535 UDP E:/WINNT/System32/tcpsvcs.exe
1252 inetinfo -> 3456 UDP E:/WINNT/System32/inetsrv/inetinfo.exe

 
E:/WINNT/System32/WINDOW~1/Server/nsum.exe
这个是什么文件?我的系统里好像没有。
你把上述列表里的可疑文件找到,看看它们的属性里的版本页,一般正规公司出的如微软的会写上各公司的名称。

还有,最好在服务器上装上防火墙。
 
可能是中了尼姆达病毒,你可以下一个金山的专杀工具杀一杀,(免费的)
 
金山的尼姆达病毒专杀工具查不到,还有没有办法?
 
怎么会找不到呢,到金山的网站就可以了。
http://www.iduba.net/resource/special/Concept/index.htm
还不行的话给个email,我寄给你。
155k
 
请大家看看各自的windows 2000,下面这几个病毒所指向的文件有没有?

1524 nsum -> 6666 TCP E:/WINNT/System32/WINDOW~1/Server/nsum.exe
884 nscm -> 7007 TCP E:/WINNT/System32/WINDOW~1/Server/nscm.exe
1252 inetinfo -> 7747 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
852 nspmon -> 7778 TCP E:/WINNT/System32/WINDOW~1/Server/nspmon.exe

 
用Regedit,在注册表中搜索"Server/n",找到就删除。或者先在任务管理器中将这些程序
强行终止,用Delphi编一个什么也不干的控制台程序,将上面的 "Server/n*.exe" 覆盖掉,
看下次启动还有没有问题。(——我就是这么对付Code Red的——用假的tftp来记录攻击时间)
 
除inetinfo有,其它的都没有。
 
to 远帆:
我是说金山的尼姆达病毒专杀工具我已用过,只是它也报无病毒。
 
你看看这些文件的创建、修改时间不就得了吗?
inetinfo.exe是系统文件。 WINNT/System32/WINDOW~1/ 下的是木马。
 
to creation-zy:
你的意思是红色代码病毒,肯定吗?
 
我只是举一个例子,像这种无名小妖木马,谈“名字”还为时尚早。
动手呀!非要知道是什么木马,然后使用专门的查杀软件吗???
 
我的机器里也有NSCM、NCPM、NSPMON、NSUM
这些是病毒的???不会吧??
 
to nicklee:
请看一下你的硬盘的各个逻辑分区有没有设为共享,请用右键查看'共享'属性,若是,必中
毒,别只看手形符号,它是没有手形符号的。
 
上金山的论坛去!那里的技术人员还不错的,会给你答复!
 
木马之类的最擅长的就是隐藏自己, 它的进程一般可以隐藏, 用任务列表恐怕看不出
什么名堂。
除了那个8 System外(居然不报家门,用个System就证明一定是系统进程吗), 其他的都
还比较面熟, 无非是Win2000s的系统进程, 还有SQL Sever的两个进程。
如果是老病毒的话, 那些杀毒精英们早就发现了(否则该讨饭了 :) ), 尼姆达已经不
是什么新鲜玩意。
我看最好和某个杀毒软件公司联系一下(去他们网站), 告诉他们现象, 然后由他们告诉
你提取病毒样本的方法, 提交给他们, 经过他们分析, 他们显然会知道该怎么做。 如
果是新病毒,说不定他们还会免费赠送你一套最新版本的杀毒工具呢。(KV就是这样说的)
, 他们的网站是开放的,允许上传病毒样本。瑞星还有一个BBS。KV嘛,好象只有一个
URL。
希望你能尽快搞定, 也希望你搞定之后能告诉我这是什么东东(特关心的事)。
祝好运。 :)
 
近日我又重装了windows 2000 server,刚装好看共享,C盘已被设为C$,看来是
windows 2000 server自己设的,说是为把管理需要,想不通,这样一来就不安全啦。
 
多人接受答案了。
 
哦, 原来是管理共享, 这没关系的。
我还以为…………, 呵呵, 看来虚惊一场。 :)
 
您必须登录或注册才可回复。
顶部