如何檢視本機哪些程式與網路建立了連線???3596209 2008-11-04

用輔助軟體就可以!

執行360安全衛士,高階————網路連線狀態,可以檢視本機哪些程式與網路建立了連線。

至於是否執行木馬,需要詳細的資訊!

用360診斷,到處診斷報告@!然後逐條分析是否有木馬!

O2 - 低危險 - BHO: (CnsHook Class) - [網路實名] - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook。dll

O4 - 高危險 - HKLM\。。\Run: [CnsMin] [雅虎助手相關程式。] Rundll32。exe C:\WINDOWS\DOWNLO~1\CnsMin。dll,Rundll32

O4 - 高危險 - HKLM\。。\Run: [helper。dll][懷疑為惡意程式或病毒,請使用防毒軟體進行查殺。] C:\WINDOWS\system32\rundll32。exeC:\PROGRA~1\3721\helper。dll,Rundll32

日誌中若出現標示為 高危險 或 低危險的項,推薦您使用全面診斷予以修復。

若修復不成功,可以使用粉碎機按照路徑粉碎如上路徑中的檔案。

如上面的幾個檔案,可以刪除了的檔案為:

C:\WINDOWS\DOWNLO~1\CnsHook。dll

C:\WINDOWS\DOWNLO~1\CnsMin。dll

C:\PROGRA~1\3721\helper。dll(注意這一項!!是刪除了C:\PROGRA~1\3721\helper。dll這個檔案,而不是刪除了C:\WINDOWS\system32\rundll32。exe這個,C:\WINDOWS\system32目錄下的rundll32。exe是正常的系統檔案,其他目錄下的rundll32。exe則十有八九是病毒檔案)

若檔案已經不存在,可用“360高階——啟動項狀態”刪除無用啟動項。

————————————————————————————————————————————————————————————————————————————————————————————-

100 - 未知 - Process: 9。exe [] - C:\Program Files\WindowsUpdate\9。exe

100 - 未知 - Process: winlog0n。exe [] - C:\WINDOWS\winlog0n。exe

100 - 未知 - Process: QQ。exe [QQ] - D:\QQ\QQ。exe

360日誌隱藏了系統的安全程序,而對未知的程序進行了記錄顯示,如上,遇到未知的程序,是我們必須特別注意的地方。上面的三個程序我們可以判斷出:

C:\Program Files\WindowsUpdate\9。exe

C:\WINDOWS\winlog0n。exe

這兩個為惡意檔案,必須給於刪除,而D:\QQ\QQ。exe則為正常的QQ的程式檔案,在這裡有個小技巧可以提高你看日誌的速度,就是一般我們只需要注意在系統盤下的程序,其他盤的程序一般不必留意,除非你把系統的臨時資料夾目錄移動到了其他盤中,那才需要考慮。

————————————————————————————————————————————————————————————————————————————————————————————-

O1 - 未知 - Host: 58。215。65。136 www。hyap98。com

O1 - 未知 - Host: 58。215。74。70 my。dianz。cn

360對Host檔案也進行了掃描,並對修改了的HOST檔案進行了記錄,如上,如果你發現瞭解析的地址象上面一樣,指向了一個陌生的IP地址,而非你自己編輯HOSTS檔案的話,那就很可能是病毒修改了定向,強迫你上他指定的網站。(一些免疫程式會寫host並定向為127。0。0。1 這是安全的)

解決辦法很簡單:

1、開啟360——修復——勾選恢復HOSTS檔案為預設狀態——立即修復即可

————————————————————————————————————————————————————————————————————————————————————————————-

O4 - 未知 - HKLM\。。\Run: [mppds] [] C:\WINDOWS\mppds。exe

O4 - 未知 - HKLM\。。\Run: [Snewpeek] [] C:\Program Files\WindowsUpdate\9。exe

HKLM\。。\Run:系統的自啟動項一直是大部分木馬惡意程式的必爭之地,這裡需要你自己判斷,一般除了CTFMON。exe、殺軟、顯示卡和音效卡驅動,其他的建議都不要讓其自啟動。

解決辦法:

開啟360——高階——啟動項狀態,把不用的禁用。

————————————————————————————————————————————————————————————————————————————————————————————-

O22 - 未知 - Filename Extention: 。hlp - winhlp32。exe %1

360對系統的檔案關聯錯誤也做了記錄,若日誌中出現以上提示,說明系統的檔案關聯出現了問題。

解決辦法:

用360——修復——檔案關聯——立即修復

————————————————————————————————————————————————————————————————————————————————————————————-

O10 - 未知 - Winsock LSP: [] [{144323B7-20C3-4B5F-B2A5-1CD0D6996DBC}]C:\WINDOWS\system32\idmmbc。dll

O10 - 未知 - Winsock LSP: [] [{179619BA-DEEB-4436-ABAF-82EEAF2F3816}]C:\WINDOWS\system32\idmmbc。dll

網路協議綁架,這個要判斷後面的檔案是否安全,有些防毒軟體透過綁架來達到對網路的監控,如果你查出檔案不是殺軟的話,那九成是有問題了

解決辦法:

1、刪除了後面那個檔案,再開啟360——修復——修復LSP連線

————————————————————————————————————————————————————————————————————————————————————————————-

O23 - 未知 - Service: NetSys [管理系統網路連線,您可以檢視系統網路連線。] - C:\WINDOWS\system32\NetSys。exe

O23 - 未知 - Service: RsCCenter [Rising Process Communication Center] - “E:\Program Files\Rising\Rav\CCenter。exe” - (running)

O23 - Service: 服務啟動項。

現在很多病毒檔案開始看好這塊地方,360日誌列出的一般是非windows數字簽名服務,這裡出現的服務也要注意,不要被他的中文解釋或檔名欺騙了。

解決辦法:

1、用360檔案粉碎機,刪除掉服務的檔案。如第一個的 C:\WINDOWS\system32\NetSys。exe需要刪除,而第二個則是瑞星的服務,是安全的。

2、360——工具——系統服務狀態,選中後進行修復

(小提示:不懂的服務,可以去網上搜索檔案路徑。)

————————————————————————————————————————————————————————————————————————————————————————————-

100 - 安全 - Process: smss。exe[程序為會話管理子系統用以初始化系統變數,ms-dos驅動名稱類似lpt1以及com,呼叫win32殼子系統和執行在windows登陸過程。]- C:\WINDOWS\System32\smss。exe

這一類的標示安全的一般可以跳過不看,但也不可以掉以輕心,比如機器狗之類惡意木馬會替換系統檔案路徑 達到混淆視聽的目的。

————————————————————————————————————————————————————————————————————————————————————————————-

O40 - Explorer。EXE - - C:\WINDOWS\DOWNLO~1\CnsMin。dll - -

O40 - Explorer。EXE - 北京三七二一科技有限公司 - C:\WINDOWS\DOWNLO~1\CnsHook。dll - 3721 CNS Module - 6d6a7a32cb01b8c41a41d61c7539cad3

O40 - Explorer。EXE - Thunder NetworkingTechnologies,LTD - C:\Program Files\ThunderNetwork\Thunder\ComDlls\XunLeiBHO_002。dll - XunLeiBHO -8915c81b9c015cf5571fad917a614a85

O40 -敏感程序模組資訊。

現在的木馬和高階點的流氓軟體為了達到隱藏自身、加大刪除難度、高許可權高優先順序啟動的目的而把檔案注入到系統某些關鍵程序中,變成了系統程序的一部分。這是障眼法。

判斷技巧:

1、檢視其自身描述,一般沒有任何描述資訊的最可疑,應該優先考慮他是否有問題

2、有了描述也不一定就沒問題,象第二個,很清楚地用中文自身描述,卻是惡意軟體網路實名。

3、第三個安全的,是訊雷的載入項,當然也是可以刪除的。

4、自身描述任何人都可以寫,具有不可靠性,不可全信 但做參考。

————————————————————————————————————————————————————————————————————————————————————————————-

O41 - kdkgna - sys 應用程式 -C:\WINDOWS\system32\drivers\kdkgna。sys - (running) - sys 應用程式 -北京三七二一科技有限公司 - c096dc989756c7d6a57f3fdc9bc3b9cf

O41 - msnet - msnet - C:\WINDOWS\system32\drivers\msnet。sys - (running) - - - 89a990c58656697bf71e756d746b6d2a

O41 - klif - spuper-ptor - C:\WINDOWS\system32\drivers\klif。sys -(running) - spuper-ptor - Kaspersky Lab -2985985b39e13643f941b6396fb915dd

O41 - NPF - npf -C:\WINDOWS\system32\drivers\npf。sys - (not running) - npf - CACETechnologies - d21fee8db254ba762656878168ac1db6

O41 - 現在很多木馬流氓軟體採取了驅動(sys檔案),使得自身的生命力更強大,反安全軟體能力更強,反偵查,反刪除,最高優先順序啟動。

如第一、二個等,都是需要刪除的檔案,這個也要靠自己的知識庫去判斷,而第三個則是卡巴的驅動程式。 同樣,這裡的自身描述也具有不可靠性,需要自己多加判斷和網上搜索。

驅動的刪除比較困難,一般建議使用360檔案粉碎機。

————————————————————————————————————————————————————————————————————————————————————————————-

經驗之談:

為了讓你加快看日誌的速度,寫多幾點小經驗:

1、記住一些常見的程序,比如一些殺軟的程序名,還有就是一些程式的安裝目錄名,都是可以幫助你快速過濾掉正常的檔案的。

2、報告中任何標示的是(not running)的,一般可以忽略不看,標示不在執行中或實際檔案已經不存在。 若等到如果你反覆查殺還是老出問題的話再考慮他。

3、碰到不知道是什麼東西的檔案,用百度搜索一下,百度搜索不到的直接砍了,即使是砍錯了也最多是一些偏僻或新出的軟體,最多重灌下軟體。系統乾淨最重要,要保險點可以先備份了檔案再刪。

4、經常使用“求助”“匯出診斷報告”功能,檢視系統是否乾淨。

如何檢視本機哪些程式與網路建立了連線???漢濱才子 2008-11-04

要掃描一下埠

還要檢視程序

如何檢視本機哪些程式與網路建立了連線???wsy28187222 2008-11-04

用360安全衛士,目前最好的免費安全類的軟體。它可以幫你檢視哪些程式與網路建立了連線,還可以分析哪些是安全的