系统可疑ftp连接

604 23

[1 楼] CATWK [泡菜] 21-9-24 20:04 受隔壁帖子影响，查了一下电脑端口连接，发现很多奇怪的TIME_WAIT状态的ftp连接，用TCP View工具看的结果如图，帮忙分析分析这是怎么回事？
[24 楼] eox [泡菜] 21-9-28 11:30 枫树下发表于 2021-9-28 09:47 借楼帮看看，谢谢。看不出毛病。那堆443、80连接应该是你的浏览器吧。
[23 楼] 枫树下 [资深泡菜] 21-9-28 09:47 eox 发表于 2021-9-24 20:59 楼主以管理身份打开cmd，放一下 netstat -nota 的结果。借楼帮看看，谢谢。
[22 楼] 林中啄木 [陈年泡菜] 21-9-26 08:00 duoduobear 发表于 2021-9-24 23:16 手工抓杀毒，干得漂亮！用Sysinternals工具套件里的Process Monitor和Autoruns组合把所有可疑进程都屏蔽掉，磁盘文件删除。可疑就是名字奇怪，路径奇怪，签名公司奇怪，行为奇怪的。
[21 楼] 珂2019 [泡菜] 21-9-25 20:20 nahcooo 发表于 2021-9-25 03:08 别想当然，先运行一下netstat再说怎么样？不合规外链图片,不直接显示，谨慎点击嗯，这个工具果然很强大。
[20 楼] CATWK [泡菜] 21-9-25 09:22 duoduobear 发表于 2021-9-24 23:16 手工抓杀毒，干得漂亮！用Sysinternals工具套件里的Process Monitor和Autoruns组合把所有可疑进程都屏蔽掉，磁盘文件删除。可疑就是名字奇怪，路径奇怪，签名公司奇怪，行为奇怪的。这个工具包很好啊
[19 楼] nahcooo [资深泡菜] 21-9-25 03:08 珂2019 发表于 2021-9-24 23:13 我是看见那个截图里显示出地址/端口的性质（ftp等），觉得很方便，省很多功夫。别想当然，先运行一下netstat再说怎么样？本帖最后由 nahcooo 于 2021-9-25 03:17 编辑
[18 楼] duoduobear [Canon论坛版主] 21-9-24 23:16 CATWK 发表于 2021-9-24 21:43 是的，确认这个有问题了，我把HelpPane.exe杀了再netstat所有ftp连接都消失了。问题是这玩意怎么杀掉啊？直接把HelpPane.exe删掉就行了？手工抓杀毒，干得漂亮！用Sysinternals工具套件里的Process Monitor和Autoruns组合把所有可疑进程都屏蔽掉，磁盘文件删除。可疑就是名字奇怪，路径奇怪，签名公司奇怪，行为奇怪的。
[17 楼] 珂2019 [泡菜] 21-9-24 23:13 nahcooo 发表于 2021-9-24 23:07 cmd下有netstat powershell下有Get-NetTCPConnection 我是看见那个截图里显示出地址/端口的性质（ftp等），觉得很方便，省很多功夫。
[16 楼] nahcooo [资深泡菜] 21-9-24 23:07 珂2019 发表于 2021-9-24 22:57 Windows如果自带TCP View这样的工具就好了 cmd下有netstat powershell下有Get-NetTCPConnection
[15 楼] 珂2019 [泡菜] 21-9-24 22:57 CATWK 发表于 2021-9-24 20:04 受隔壁帖子影响，查了一下电脑端口连接，发现很多奇怪的TIME_WAIT状态的ftp连接，用TCP View工具看的结果如图，帮忙分析分析这是怎么回事？ Windows如果自带TCP View这样的工具就好了
[14 楼] 珂2019 [泡菜] 21-9-24 22:46 CATWK 发表于 2021-9-24 22:12 用MSE查到了是个木马，杀了有些时光恍惚的感觉。 MSE能查到它、能杀掉它，但是为什么它植入时MSE没发现？是没有打开实时保护吗？
[13 楼] CATWK [泡菜] 21-9-24 22:12 用MSE查到了是个木马，杀了
[12 楼] CATWK [泡菜] 21-9-24 21:43 eox 发表于 2021-9-24 21:28 中奖了我帮查了下我家的helppane.exe，是在windows目录下。重点是你家病毒相当狡猾。能伪装pid = 0。不知如何做到是的，确认这个有问题了，我把HelpPane.exe杀了再netstat所有ftp连接都消失了。问题是这玩意怎么杀掉啊？直接把HelpPane.exe删掉就行了？
[11 楼] eox [泡菜] 21-9-24 21:28 CATWK 发表于 2021-9-24 21:24 我去～这个东西的确有问题，图标像个文件夹，而且在C:盘的Users目录下中奖了我帮查了下我家的helppane.exe，是在windows目录下。重点是你家病毒相当狡猾。能伪装pid = 0。不知如何做到本帖最后由 eox 于 2021-9-24 21:30 编辑
[10 楼] CATWK [泡菜] 21-9-24 21:24 eox 发表于 2021-9-24 21:21 那不一定。打开文件所在位置看看属性呢？我去～这个东西的确有问题，图标像个文件夹，而且在C:盘的Users目录下本帖最后由 CATWK 于 2021-9-24 21:28 编辑
[9 楼] eox [泡菜] 21-9-24 21:21 CATWK 发表于 2021-9-24 21:13 21端口的最多这表现肯定是肉鸡了吧
[8 楼] eox [泡菜] 21-9-24 21:21 CATWK 发表于 2021-9-24 21:19 HelpPane.exe 微软的帮助吧？那不一定。打开文件所在位置看看属性呢？
[7 楼] CATWK [泡菜] 21-9-24 21:19 eox 发表于 2021-9-24 21:16 任务管理器里边2176对应是什么应用嘛 HelpPane.exe 微软的帮助吧？
[6 楼] eox [泡菜] 21-9-24 21:16 CATWK 发表于 2021-9-24 21:12 很长，这是一部分，和tcp view看到的一样任务管理器里边2176对应是什么应用嘛
[5 楼] CATWK [泡菜] 21-9-24 21:13 21端口的最多本帖最后由 CATWK 于 2021-9-24 21:15 编辑
[4 楼] CATWK [泡菜] 21-9-24 21:12 eox 发表于 2021-9-24 20:59 楼主以管理身份打开cmd，放一下 netstat -nota 的结果。很长，这是一部分，和tcp view看到的一样
[3 楼] eox [泡菜] 21-9-24 20:59 楼主以管理身份打开cmd，放一下 netstat -nota 的结果。本帖最后由 eox 于 2021-9-24 20:59 编辑
[2 楼] eox [泡菜] 21-9-24 20:48 扫描ftp的肉鸡了呗在不停抠人家菊花呢本帖最后由 eox 于 2021-9-24 20:49 编辑