[求救] wireshark 掃到奇怪的封包

看板AntiVirus (防毒)作者windwofswold ( ◤〔ζ狼ζ〕◢)時間16年前 (2010/05/28 02:12)推噓2(2推 0噓 0→)

留言2則, 1人參與討論串1/1

剛剛打開我的Net Limiter 發現電腦裡的svchost.exe一直在傳送奇怪的資料出去一開始是非常多的port 25連線，我隨即用防火強阻斷了，後來用wireshark抓封包，發現我的電腦會一直送出奇怪的HTTP查詢出去例如： GET 208.89.13.133/hc/19452074/?&site=19452074&cmd=mTagInPage&lpCallId=572334990918-6296923457&protV=20&lpjson=1&page=http%3A//free.antivirus.com/hijackthis/&id=513816089&javaSupport=true&visitorStatus=INSITE_STATUS&activePlugin=none&cobrows 或是對GOOGLE的IP (64.233.169.74)送出一堆查詢 GET /search?q=related:http://vista4x4.com/2007/2007.htm&hl=en&source=lnms&tbvid:1&ei=IKv-S_LFGYWclgeX3rD6CQ&sa=X&oi=mode_link&ct=mode&ved=0CAcQ_AU GET /search?q=related:http://smr.newswire.ca/en/the-st-lawrence-parks-commission/instant-camping-staycations-offer-incredible&hl=en HTTP/1.1 GET /search?q=related:http://www.jstor.org/stable/663559&hl=en&source=lnms&tblg:1&ei=xqj-S5jCJMT6lwemsc3cCQ&sa=X&oi=mode_link&ct=mode&ved=0CAoQ_AU HTTP/1.1\r\n Useragent:隨機 Referer:http://www.google.com.* (隨機) 我用過很多線上掃毒工具和comodo掃毒過，都沒發現病毒， Svchost的服務為DComLaunch 前兩天發生過我的露天帳號被盜用，我在想會不會跟這個有關... 請問有人發生過這種事情嗎？謝謝補充： hijackthis log: http://sun.cis.scu.edu.tw/~92a39/upload/39565.txt sreng log: http://sun.cis.scu.edu.tw/~92a39/upload/39566.txt 在註冊表的這裡 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 發現一個key : WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED} 但在登錄編輯器找不到與 {E6FB5E20-DE35-11CF-9C87-00AA005127ED} 其他相符的鍵 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.37.79.8 ※ 編輯: windwofswold 來自: 114.37.79.8 (05/28 02:32) ※ 編輯: windwofswold 來自: 114.37.79.8 (05/28 02:35)