论坛: 病毒专区 标题: internat.exe 复制本贴地址    
作者: bluefire76 [bluefire76]    论坛用户   登录
我的电脑的winnt下有个internat.exe文件,有175K大,而且其标志不再是个问号了,在system32下也有个internat.exe,有21K大,现在的现象是,我的cpu几乎是满负荷运转,而就是internat.exe文件占用了90%以上,我现在怀疑就是中了木马,可是用iparmor查了,没有发现,请问我是否真的中了木马,如果是与internat.exe有关,我如何杀掉该木马,而且我的输入法已经在任务栏中看不到了。

地主 发表时间: 04/04 17:28
回复: CyberSpy [cyberspy]   论坛用户   登录
(请将注册表中的启动项拿上来看看,这些项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和runonce,runservicers等run有关项。运行->regedit->找到以上的右边的项,抄上来吧~)
怀疑可能是QQ密码侦探木马~

.用进程管理软件杀掉这个进程(internat.exe文件占用了90%以上,我现在怀疑就是中了木马)
.删掉这个文件,同时将smaxinte.exe改名为internat.exe
.修改注册表,去掉启动项中的关于winnt/internat.exe项,删除����HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK ����HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK����HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK 几项


B1层 发表时间: 04/04 18:26
回复: bluefire76 [bluefire76]   论坛用户   登录
版主,我看过你说的那个办法,可是不行,因为我根本找不到那些文件
我马上把注册表的内容放上来


B2层 发表时间: 04/04 19:11
回复: bluefire76 [bluefire76]   论坛用户   登录
版主,我的注册表上在下面两个里有如下的internat.exe信息.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices有:
CnsMax   C:\WINNT\internat.exe
而且我用netstat -an发现了如下情况:


C:\>netstat -an

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:21             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:25             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1033           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1050           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1052           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1097           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1118           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1741           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:2690           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:7161           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:42343          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:57860          0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1050         127.0.0.1:7161         ESTABLISHE
  TCP    127.0.0.1:1433         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:7161         127.0.0.1:1050         ESTABLISHE
  TCP    192.168.1.139:139      0.0.0.0:0              LISTENING
  TCP    192.168.1.139:1433     0.0.0.0:0              LISTENING
  UDP    0.0.0.0:135            *:*
  UDP    0.0.0.0:161            *:*
  UDP    0.0.0.0:162            *:*
  UDP    0.0.0.0:445            *:*
  UDP    0.0.0.0:1048           *:*
  UDP    0.0.0.0:1049           *:*
  UDP    0.0.0.0:1084           *:*
  UDP    0.0.0.0:1102           *:*
  UDP    0.0.0.0:1434           *:*
  UDP    0.0.0.0:3456           *:*
  UDP    0.0.0.0:8161           *:*
  UDP    192.168.1.139:137      *:*
  UDP    192.168.1.139:138      *:*
  UDP    192.168.1.139:500      *:*
























































B3层 发表时间: 04/04 19:33
回复: bluefire76 [bluefire76]   论坛用户   登录
而且在注册表中并没有如下三项:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK ����HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK����HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK 
也没有文件:smaxinte.exe
我用了很多木马工具,包括木马克星都杀不了它,现在有什么办法啊?




B4层 发表时间: 04/04 19:36
回复: CyberSpy [cyberspy]   论坛用户   登录
最好在注册表中查找:C;\Winnt\internat.exe(或者只查找internat.exe),看是否有其他文件关联,比如关联txt或者exe等,那样直接删除掉就可能打不开那些关联文件类型。有就恢复关联(具体等你看了再说)。

一般手段:
1.用进程管理软件,推荐TaskInfo2000,上网down一个,查看进程,杀掉internat这个进程。
2.然后打开删除C;\WInnt\internat这个文件。(如果有exe文件关联就要注意这一步了)
3.打开注册表,删掉上面的那个internat启动项。
4.重新启动(其实没有实际用处的,哈哈)。
应该可以搞定了。

B5层 发表时间: 04/05 09:18
回复: bluefire76 [bluefire76]   论坛用户   登录
"最好在注册表中查找:C;\Winnt\internat.exe(或者只查找internat.exe),看是否有其他文件关联,比如关联txt或者exe等'
请问:如何查看文件关联?

B6层 发表时间: 04/07 14:59
回复: bluefire76 [bluefire76]   论坛用户   登录
版主,我按你的方法做过,可一重起机子后,internat.exe文件在注册表和winnt下又出现了,有没有好的杀木马软件啊?

B7层 发表时间: 04/07 16:32
回复: CyberSpy [cyberspy]   论坛用户   登录
注册表中查找:C;\Winnt\internat.exe(或者只查找internat.exe)

把找到的项目写上来~

或者msconfig启动项放上来~

B8层 发表时间: 04/07 22:50
回复: bluefire76 [bluefire76]   论坛用户   登录
我运行msconfig时,系统告诉我找不到该组件,internat.exe相关的内容如下:
数值名称      数值数据            
CnsMax       C:\WINNT\internat.exe  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

CnsMax       C:\WINNT\internat.exe 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService

B9层 发表时间: 04/08 08:49
回复: CyberSpy [cyberspy]   论坛用户   登录
难道在注册表中就这两个位置有internat.exe??

1.那你去掉这两项启动项先;用进程管理软件,推荐TaskInfo2000,上网down一个,查看进程,杀掉internat这个进程。
2.然后打开删除C;\Winnt\internat.exe这个文件。

B10层 发表时间: 04/08 09:53
回复: bluefire76 [bluefire76]   论坛用户   登录
版主,你说的那个方法我试过,不行,重起后,internat.exe在注册表和winnt下又存在了,我用iparmor查了一下,它告诉我
Text file connects to Trojan  that was found.
Trojan name is C:\WINNT\SYSTEM32\KERNEL.EXE %1
Text file connects to Trojan  that was found.
Trojan name is C:\WINNT\SYSTEM32\KERNEL.EXE %1


B11层 发表时间: 04/08 10:23
回复: bluefire76 [bluefire76]   论坛用户   登录
我做了一个实验,当我把任务管理器中internat.exe进程杀掉后,我随便找个.txt文件打开,internat.exe又出现在了任务管理器,而那个.txt文件本身却没有被打开,可不可以认为internat.exe跟.txt文件关联了?

B12层 发表时间: 04/08 13:03
回复: CyberSpy [cyberspy]   论坛用户   登录
是啊  所以叫你在注册表中搜索internat.exe一下嘛(应该会搜索吧? ^_^)~ 看还有没有其他的关联被改了?
这样:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
右边默认改成:
%SystemRoot%\system32\NOTEPAD.EXE %1

再用上面的方法搞定

B13层 发表时间: 04/08 21:56
回复: bluefire76 [bluefire76]   论坛用户   登录
版主,你说的方法我都试了,我把我现在所碰到的问题再说一遍,这也是我多次实验后得到的:
我用regrun软件对文件和注册表进行了监控,我把注册表中所有internat.exe都删除了,而且把winnt下的internat.exe删除,我也按照你的办法把txtfile的默认值改了,而且我发现我的winnt/system32下的kernel.exe文件也有问题,我也删除了,再这之前,我用regrun发现,在winnt/Downloaded Program Files下有好些cns*.*文件与internat.exe有关,同时在注册表中与internat.exe有关的项名都是cnsmax。我把这些文件也都删除了。然后重起机子,情况如下:
在任务管理器中仍然有internat.exe,而且注册表中在run,runservices中也有cnsmax(internat.exe)的项(无论我先前是把cnsmax改名还是删除,只要重起都会重建该键值),txtfile的open下的command值为C:\WINNT\System32\kernel.exe %1
在winnt下仍然有新建的internat.exe,system32下也有新健的kernel.exe,但winnt/Downloaded Program Files下已没有cns*.*文件。
差不多就是这些了,我现在就是想知道,当我删除所有与internat.exe有关的文件和项后,重起机子时这些东西是如何重建的?我如何可以查看到她们?或者说我如何知道与internat.exe关联的所有信息?

B14层 发表时间: 04/09 14:21
回复: bluefire76 [bluefire76]   论坛用户   登录
版主,多谢你的帮助,我现在终于找到了这个木马,他就是瑞星杀毒软件描述的klia木马,
22.Trojan.Klia
破坏方法:此病毒启动后将自己安装到系统目录下命名为internat.exeh和outlook32.exe,kernel.exe此病毒将自己伪装成一个 
windows的键盘语言指示程序,启动后在后台隐藏运行.修改注册表的 HKEY_LOCAL_MACHINE 
\Software\Microsoft\Windows\CurrentVersion\Run 项,在其中添加一项 CnsMax 达到自启动的目的. 修改win.ini文件的run项使其指向病毒程序outlook32.exe.此病毒还会修改txt文件的关联项,每当用户启动一个txt文件时就会将病毒程序kernel.exe启动 


B15层 发表时间: 04/11 11:51
回复: Muddy [muddy]   论坛用户   登录
斑竹厉害!!蓝火也厉害 :)

B16层 发表时间: 04/13 13:09

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号