电脑内存被蚕食，求救求救，高手请进来帮帮忙！

eysler

病毒还是木马？？？？
电脑出现奇怪的现象，开机以后不使用任何程序，内存被一点一点的蚕食，就是说在windows任务管理器中，内存使用那一栏显示的数字自己不断的增长xxxxxx/629964K,前面的数字不断的长，直至弹出对话框提示系统虚拟内存空间不足，然后就无法运行任何程序了，因为没有内存空间了，这个蚕食的过程到实不快，如果什么都不用大概要用30分钟左右。进程已经调整到无法再减的地步了，还是搞不懂到底是怎么了，用的kapa一直正常，也没有报病毒。怀疑是木马，可是用HijackThis也没有找到。


求救，求救，高手帮帮忙！！

这里是我用HijackThis备份下来的进程目录。
Logfile of HijackThis v1.99.1
Scan saved at 03:14:19, on 07.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\csrss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\System32\msdtc.exe
E:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
E:\WINNT\SYSTEM32\RUNDLL32.EXE
E:\WINNT\Explorer.exe
E:\WINNT\system32\nvsvc32.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\tcpsvcs.exe
E:\WINNT\System32\snmp.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\MsPMSPSv.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\dmadmin.exe
E:\WINNT\system32\RUNDLL32.EXE
E:\WINNT\LSASS.exe
E:\Program Files\NetLimiter\NetLimiter.exe
E:\WINNT\system32\ctfmon.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
E:\WINNT\SMSS.EXE
E:\Program Files\Java\jre1.5.0\bin\jusched.exe
E:\Program Files\Java\jre1.5.0\bin\jucheck.exe
E:\WINNT\system32\taskmgr.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Documents and Settings\XuNa\桌面\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe 1
o2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar2.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - E:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UpdReg] E:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "E:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NetLimiter] E:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [winlass] E:\Program Files\Outlook Express\winlass.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [ToP] E:\WINNT\LSASS.exe
O4 - HKLM\..\Run: [TProgram] E:\WINNT\SMSS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用CyberArticle保存当前网页... - E:\Program Files\CyberArticle\script\save.htm
O8 - Extra context menu item: 使用CyberArticle保存更多内容... - E:\Program Files\CyberArticle\script\savex.htm
O8 - Extra context menu item: 使用CyberArticle保存网页选中部分... - E:\Program Files\CyberArticle\script\savesel.htm
O8 - Extra context menu item: 使用影音传送带下载 - E:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - E:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java ????ì¨ - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC8A2047-FA40-42D9-A404-302C7C350BE5}: NameServer = xxx.xx.xxx.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD159F58-1EC1-4EAE-9FD7-AFEB1E4D1135}: NameServer = xxx.xx.xxx.1,xxx.xxx.x.x
O18 - Protocol: Festoon - (no CLSID) - (no file)
O18 - Protocol: vskype - (no CLSID) - (no file)
O20 - Winlogon Notify: NavLogon - E:\WINNT\system32\NavLogon.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINNT\system32\nvsvc32.exe

Fabian

Format your Hand-disk and reinstall OS now!
I think ..your computer have virus
PS:back up your data!

cyclohexan

应该是中蠕虫病毒了

eysler

非常感谢楼上兄弟们的回复，我已经找到原因了，就是一个木马程序，具体的恢复方法在这里
http://www.fuckadmin.com/blog/article.asp?id=250
这是在网上找到的恢复方法，具体这个木马危害性还有多大，我没有更深的体会，不过这个木马应当听厉害的，能够逃避kapa，木马软件我都试了，对此木马没有检测出来的。只有手动恢复了，大家上外网的时候还是多家小心吧，一旦发现在进程中出现LSASS.exe,注意是小写的exe,而且是链接到E：\winnt\lsass.exe而不是e:\winnt\system32\lsass.exe，一定是有此木马，也希望能有高手找到这个木马的破解软件。手动太麻烦了。;)

gaga

HijackThis里清除掉 O4 - HKLM\..\Run: [ToP] E:\WINNT\LSASS.exe ，重启动就可以了。
HijackThis很不错，系统运行状况一目了然，包括你机子上运行的两个lsass，呵呵，就是它自己不能告诉你系统出问题，只能给个系统状况报告。
我中过一次灰鸽子木马，好在防火墙拦住了它通过IE对外发数据的请求，然后用HijackThis发现原因并杀掉了它伪装的系统服务。只是迄今不是很确定感染过程，猜测是利用媒体播放器漏洞，将病毒植入视频文件里，利用诸如缓冲溢出之类的技术在系统中塞进木马。所以防火墙还是需要的，特别是当前木马泛滥的时候。

灰鸽子木马等的设计越来越智能，操作越来越傻瓜，危害太大。现在的计算机安全实在是脆弱。

eysler

gaga高手，谢谢你的信息，不过我就是用了你推荐的hijackThis来清除这个木马的，可是是不起作用的，在重新启动以后还是自己会回来的，我也将winnt下面隐藏的lsass.exe，exert.dex删除了，他还是会出来，最后只好按他所给的解决办法，一点一点改过来才可以，中间我也试了许多别的软件，超级兔子，冰刃，eiwos什么的，都不能彻底删除，每次重启死而复生，这个东西却视挺强的,这个木马他说是叫传奇木马，我也没有查证是否是这个名字，不过我是挺佩服修改这个木马的人。我觉得可能也是因为前几天看mission impossibel3,达芬奇染上的，再看的同时realplayer开了不少连接，真是防不胜防，不知gaga高手对于这个realplayer连接问题除了用防火墙有没有什么解决办法？谢谢了。我现在是用暴风影音来看rmvb的东西了，不过还是能打开一些ie连接的网站的。

gaga

呵呵，我也不是高手，不过就是用电脑的经验多一些而已。
你说的木马删除后重启动机子会恢复，可以找一下HijackThis列出的系统启动项目。我没有完全分析你的HijackThis的log不过这两个东西都是在启动时候加载的：
O4 - HKLM\..\Run: [ToP] E:\WINNT\LSASS.exe
O4 - HKLM\..\Run: [TProgram] E:\WINNT\SMSS.EXE
这两个程序的官方位置都应该在system32目录下（直接google搜进程名，有一堆该文件的正确描述）。而你的机子，看起来它们俩都是外来的伪装程序，可能要把两个文件都删掉，不然它们互相会保护。当然可能还有其他的启动项，你得一个一个去检查它们是否合法。需要检查的是RUN项目，Service项目和BHO（如果你习惯用IE的话）。

防火墙很必要，因为木马程序和普通网络程序太难区分。它们都有从本机向外发送数据的特性，光是防毒软件没有办法智能到可以区分这些程序。而防火墙可以让你了解到什么东西在活动。我用的是早期的sygate（现在好像被norton买去了）的防火墙。它的提示多一些，比如即使你将IE设定成永远可以访问网络，当外部程序（比如木马，或者QQ等）调用IE来访问网络的时候，它仍然会给出一个特定的‘外部程序调用性质‘的网络访问警告。我也就是觉得奇怪才发现机子已经中了木马。

木马是没有办法完全防止被感染的，因为即使你每天都给系统打补丁，可是有太多应用程序的漏洞也可能会被木马利用，防不胜防。能做的就是尽快通过防火墙发现它，因为它必定要向外面发数据，而这个现象只有一个设置正确的防火墙能捕捉到。

有人建议过一个方法，就是系统安装好了以后，创建一个受限账号，日常工作只用受限账号来进行。管理员权限账号仅仅做一些必要的系统维护工作。这样可以很大程度上限制各种木马病毒对系统的修改和感染。

李伯凌

厉害厉害，不过编的还不是完美，试想如果你的内存没有异常，你会怀疑中木马了么？

现在，真是道高一尺，魔高一丈阿