9,506
社区成员
发帖
与我相关
我的任务
分享内网中毒(疑ROOTKIT,大家帮忙看下)
win03
内网中出现多个不存在的IP与mac(例:10.10.10.2.230-00:22:00:00:cc:cc),可以ping通(自己无法
ping通自己)该IP,返回包时延偏大(30ms左右),经过交换机查看,拨线等方式,确定该MAC-IP对应所
在的主机,登录该主机上用procexp(专门进程查看工具)未发现任何异常进程,未发现异常连接,cpu,ram,硬盘读写均正常,在该
机上用科来抓包,发现有ping请求包,却未发现违造IP(10.10.2.230)的回复包
各位高手帮忙看看问题所在.
IP与mac是随机,很容易与本内网主机IP冲突,不知道是不是Rootkit类病毒木马
...全文
请发表友善的回复…
发表回复
xcntime 2009-08-18
- 打赏
- 举报
ARK:
icesword
wsyscheck
XueTr
knlps.exe
RkUnhooker
RootKit Hook Analyzer
RootkitRevealer
VundoFix
挨个软件试一试,就这么多了
或者再用Procmon WinsockXPFix 试试
icesword
wsyscheck
XueTr
knlps.exe
RkUnhooker
RootKit Hook Analyzer
RootkitRevealer
VundoFix
挨个软件试一试,就这么多了
或者再用Procmon WinsockXPFix 试试
wgaiwuhan 2009-08-18
- 打赏
- 举报
哪里找专杀?
warren258 2009-08-18
- 打赏
- 举报
用icesword可以看看有没有hook
紫郢剑侠 2009-08-18
- 打赏
- 举报
检测到的也可能是某台电脑上的虚拟机的IP与mac
DevOps小强 2009-08-18
- 打赏
- 举报
1、使用Icesowrd查看是否有隐藏进程
2、再检查一下驱动部分(C:\windows\system32\drivers)
3、检查网卡中加载的组件(与TCP/IP一起),是否有其他组件加载
2、再检查一下驱动部分(C:\windows\system32\drivers)
3、检查网卡中加载的组件(与TCP/IP一起),是否有其他组件加载
古井荡月 2009-08-17
- 打赏
- 举报
杀RK木马用ARK工具。。
pkuzhaojm1997 2009-08-17
- 打赏
- 举报
路过,等着看回复学习。
笨办法就是,把可疑的进程和服务都列出来,一个一个的停,看看是谁在捣乱!
笨办法就是,把可疑的进程和服务都列出来,一个一个的停,看看是谁在捣乱!
jikuiyu 2009-08-17
- 打赏
- 举报
Rootkit类病毒木马 是以管理员身份登录的
一般很难删除的
你还是先查查是不是Rootkit类病毒木马吧
建议找专杀
一般很难删除的
你还是先查查是不是Rootkit类病毒木马吧
建议找专杀
huoyanming 2009-08-16
- 打赏
- 举报
路过接分……
ljc007 2009-08-16
- 打赏
- 举报
积分多的朋友都喜欢重复发帖
不差钱儿
不差钱儿
古井荡月 2009-08-16
- 打赏
- 举报
同样的问题,何必发两次帖呢?
drifter250771 2009-08-16
- 打赏
- 举报
抓的包截图发来看看,进程图也发上来看看
