`
sharong
  • 浏览: 493404 次
  • 性别: Icon_minigender_1
  • 来自: 北京
博客专栏
D1667ae2-8cfc-3b68-ac7c-5e282789fa4a
论开源
浏览量:8720
7eb53364-fe48-371c-9623-887640be0185
Spring-data-j...
浏览量:13059
社区版块
存档分类
最新评论

俺中招了!一个非常厉害的木马

阅读更多
很不幸,俺在10月5号左右,直到现在,2008年11月21日,整整一个半月还多的时间,什么事也没干,全在折腾这机器了。若想知道详情,且听俺慢慢道来。
由于我长期用迅雷等软件当东东,而且经常彻夜不关机,终于在9月30日左右机器出现了异常,具体表现是:
机器渐渐的一次启动总是启动不了,基本都是刚进入windows系统桌面之后,鼠标和键盘停止响应,机器就此卡住,这种事情发生后,刚开始若干天,按reset键,第二次可以启动成功.
对于这种情况,估计一开始大家都会认为是硬件问题,或者可能不是很在意,我也不例外。然而5,6天之后,这种情况就非常严重了,必须重启2次,第三次才能启动成功,而一般最多就是启动三次即可,很少需要启动4,5次机器才能正常运转的情况。在这种状况下,大部分人更会怀疑是硬件出了问题。
我为此更换了硬盘,加了内存条,结果问题还是一模一样,这其实说明我新买的内存条兼容性相当好。一开始,当在新硬盘上安装了系统之后,症状全部消失,机器不再卡,这让我大喜过望,以为真是硬盘出了严重问题。而当我将旧硬盘上的除了系统盘的数据又全部拷贝到新硬盘上之后,噩梦又开始出现了,新硬盘的表现竟然也是鼠标键盘经常停止响应,和旧硬盘一模一样,而且在随后几天里,这种状况愈演愈烈,以前用1个小时鼠标才停顿(注意,是一个小时)。结果到后来变成半小时,15分钟,甚至几分钟就卡了。我试着等过一段时间,发现只要出现停顿的情况,机器就死机了,直到后来有一天我发现,这种情况之所以出现,是由于硬盘先莫名其妙的挂起了。
硬盘在运行着的时候,突然机箱上的硬盘指示灯就变红,不再闪动,但是听到硬盘还是在正常转动,然后鼠标和键盘就停顿了,键盘NumLock键呈高亮,单击这个键不灭,键盘也死了。这真的是奇事啊,或许是硬盘和指示灯之间的连线有问题了?也未可知。
在这个时候,我还是以为是硬件出了问题,比如主板的电容爆浆了,或者网卡损坏,再或者,光驱出现问题,凡此种种。
之后我就开始使用排除法,对所有硬件进行一一排除。首先我就拆除了cpu风扇,将散热风扇清洗了一遍,结果让cpu温度下降了10度,很开心。然后排除网卡,光驱,内存,显卡,硬盘等等,后来只剩下主板,电源,声卡等少数硬件还未排除的时候,这当儿,鼠标停止越来越频繁,俺不胜其烦,重装了一下机器。结果发现,刚重装的2,3天里,系统运行的非常好,并不出现死机,卡等现象,3、5天之后,上面卡机的现象又复出现,真是气死人啊。这让我很是纳闷,原以为应该是主板坏了,毕竟老主板,用了快6年了,但现在看来并不是这么回事。
然后,木马病毒终于露出了蛛丝马迹,我发现,刚刚重新安装的QQ,竟然查杀木马的功能被屏蔽了!而用所有杀毒软件,没有查出任何病毒来!正好这个时候QQ发生了非常严重的GDI溢出漏洞!而每次重装,我都按各种文章上所说的,要全盘扫描杀毒一遍,还是不碰其他分区这种情况下杀毒。这时我感到可能是有木马在机器里,将360和金山提供的各种木马专杀全部下载运行都没有发现任何病毒,这病毒强啊。
紧接着,又发现在我的工作目录下出现了一个莫名其妙的目录SystemOnTempFiles,下面还有一个eclipse产生的那种.project文件,呵呵。赶紧下载了金山清理专家,对系统打补丁。
这个时候,这木马原形毕露了,我发现,只要是现在流行的系统漏洞和软件漏洞,这个病毒都可以利用,而且智商比较高,会阻止用户给这些漏洞打补丁。在给office2003打补丁的时候,无论如何打不上,更有一次出现这样一个提示:当前没有运行漏洞修复。真是啼笑皆非。后来没办法,只有删除office,竟然被这个病毒把windows installer搞坏了,office删除不了,或者提示只有系统管理员才能执行删除(废话!我就是用administrator登录的),或者提示系统管理员已经设置了系统安全策略,不允许删除!
最后没办法,只有下载了一个windows installer clean up,才脱去office和windows installer的关联,重装了office,搞定这个问题。
这个病毒一个很厉害的方面是,特别会伪装自己,将很多问题导向到硬件问题。当我给office2003安装sp3补丁时,用金山清理专家竟然无论如何都不能下载这个135M的大补丁,一开始还能下载到90%左右,然后机器就over了。后来,竟然只要一点修复漏洞按钮,就死机,而且同时还能听到俺的新硬盘滴的响一声,看来类似CIH能对硬件构成影响的病毒又出现了。
赶快用效率源软件查硬盘坏道,事实证明硬盘完好,没有物理坏道。可见这病毒功能多强大!
在打了大量补丁之后,发现死机现象明显有了好转,偶尔也会死一下,但是经常可以运行5,6个小时才死机了。不过,这样的状况才持续了不到3天,估计木马那头的混蛋黑客恼了,不知道搞了个什么,今天早上我一开机,竟然出现了可怕的蓝屏,一大堆提示,说新硬件有冲突,我心想,这不可能,都用了半个多月的新硬件了,怎么会现在才出提示!
用一块旧的硬盘当主盘,新硬盘当从盘,终于启动机器之后,用scandisk扫描,果然发现新硬盘的启动扇区好多文件损坏,修复了半天,用新硬盘开机,还是蓝屏!再用效率源查看,新硬盘还是没有任何问题。
郁闷啊,没办法,俺只好格式化了系统盘,重装系统,果然不出任何问题了,可是俺知道,那可恶的木马,还隐藏在其他数据盘的分区里,查不出来,心里想,现在这些杀毒软件,每天甚至几小时更新一次病毒库,这么长时间了,都查不出这么个病毒来,真tmd弱!
最后,基本确定了这是一个利用各种系统漏洞和软件漏洞的木马程序,但是现有杀毒软件全部检测不到!
更厉害的是,这个病毒似乎不是以文件的形式存在,而是隐藏在存放识别各种文件/文件头的扇区里,因为当打开一个目录/文件夹的时候死机时,当你下次进入这个目录,鼠标单击上次死机前单击过的文件时,必然还会再死机一次!感觉这个病毒可以捕捉鼠标事件(windows消息机制),来识别病毒上一次存放的位置,而它为什么造成计算机死机,停止响应,我感觉是利用死机到重启这段时间,复制自己到其他位置,以防止杀毒软件根据一些蛛丝马迹截断或者打断网络那一头的混蛋向我的机器里发送修改各种系统参数的数据!
出现死机情况最多的情况是,正在杀毒,突然就停止了,但是听硬盘的声音,还是在正常转动!我的想法是,可能杀毒软件查到了一点什么,就在杀毒软件准备报告可疑情况之前的一刹那,这个病毒迅速启动,将鼠标和键盘停顿,将杀毒软件停止(可能是通过操纵内存溢出之类的方法使杀毒程序停止),然后迅速将自己复制到另一个位置!
而这个病毒竭力将自己的种种罪行掩饰为系统硬件冲突或者兼容性问题。说明这个病毒编写者对底层硬件中断的调用有相当的认识!
直到今天,2008年11月21日,俺已经用了诺顿,卡巴斯基,瑞星等,同时包括360,金山提供的一大堆所谓顽固木马查杀工具,仍然没有任何杀毒软件可以识别出来。整整一个半月还多的时间,俺全在折腾这机器了,后来才发现这是病毒!
最后,杀毒软件们,请快点找到查杀这个病毒的药方啊!
2
1
分享到:
评论
14 楼 sharong 2011-06-22  
奥义之舞 写道
sharong 写道
强强爱妍妍 写道
说的跟天书一样. 是不是杀毒软件装了几个,互相冲突了?

不是,一年半后的今天,卡巴斯基和360终于可以查出来这个病毒了,是一个ghost.dll什么的木马,可以依附在一些服务程序上,例如mysqld.exe等。
最近卡巴和360还是老报有木马程序,是否删除,但是删除后过段时间仍然会出现。换句话说,应该是我的机器被黑客远程监控了,泪奔。。。

可怜啊 ,难道你的电脑被这个黑客当肉鸡使用了一年多么,可是他为什么要提示你硬盘有问题么,偷偷的使用不就行了么、?


现在终于发现了,哈哈,是我用盗版的卡巴斯基注册码,那个文件里有木马。至于硬盘这个,估计是,一台电脑被其他机器访问的时候,一般来说比较卡,而我的机器太老,别的机器一访问,电源就崩溃了
13 楼 奥义之舞 2011-06-22  
sharong 写道
强强爱妍妍 写道
说的跟天书一样. 是不是杀毒软件装了几个,互相冲突了?

不是,一年半后的今天,卡巴斯基和360终于可以查出来这个病毒了,是一个ghost.dll什么的木马,可以依附在一些服务程序上,例如mysqld.exe等。
最近卡巴和360还是老报有木马程序,是否删除,但是删除后过段时间仍然会出现。换句话说,应该是我的机器被黑客远程监控了,泪奔。。。

可怜啊 ,难道你的电脑被这个黑客当肉鸡使用了一年多么,可是他为什么要提示你硬盘有问题么,偷偷的使用不就行了么、?
12 楼 sharong 2010-08-23  
强强爱妍妍 写道
说的跟天书一样. 是不是杀毒软件装了几个,互相冲突了?

不是,一年半后的今天,卡巴斯基和360终于可以查出来这个病毒了,是一个ghost.dll什么的木马,可以依附在一些服务程序上,例如mysqld.exe等。
最近卡巴和360还是老报有木马程序,是否删除,但是删除后过段时间仍然会出现。换句话说,应该是我的机器被黑客远程监控了,泪奔。。。
11 楼 强强爱妍妍 2010-08-23  
说的跟天书一样. 是不是杀毒软件装了几个,互相冲突了?
10 楼 sharong 2008-12-22  
王者之剑 写道

难道非IT人士也上javaeye?要解决木马1.TCPView查看有无异常网络连接2.拨网线3.procexp查看有无异常进程,有则记下在硬盘上的位置,然后杀死4.删除硬盘上的文件5.清理注册表(不做也可)

直到今天这破木马还在困扰着我,所有杀毒软件都测不出来。前两天终于让我发现这木马竟然是靠截屏监控的,估计是过几秒给远端主机发送一次图像。怎么发现的呢?我只要用金山清理专家修补漏洞,机器就会死机,从来没有例外,昨天偶尔在修补漏洞时,我上其他网站看看 ,让清理专家在后台执行,结果一切OK,一点都不死机了,我试了好多次,都是这样,这破木马!
我已经用Tcpview等监控了机器,没用,果然是能在一段时间发现一个或几个不明网络连接,但是总是时断时续,过一会儿不明网络连接就消失了。用右键查看远程主机,只能看到网通的上网注册信息,根本拿这黑客没办法。而且网络连接还不能强行中断。
用procexp这些查看进程,根本看不到任何异常,我甚至进去看线程,也没有任何发现。
9 楼 jamesji 2008-11-23  
1 先重装系统

2.下载 Malwarebytes' Anti-Malware 并且安装到 C 盘,扫描其他盘符。

8 楼 sharong 2008-11-21  
weiruan85 写道

哎呀  我也曾经有过类似的经历 给你分享一下经验 1 先重装系统 2 完成后 进去千万别点其他盘 3 下个360装到C盘 然后更新病毒库  把盘全部扫一遍试试。

俺就是这样做的,根本查不出来
7 楼 dearshor 2008-11-21  
汗颜~~
6 楼 weiruan85 2008-11-21  
哎呀  我也曾经有过类似的经历 给你分享一下经验

1 先重装系统

2 完成后 进去千万别点其他盘

3 下个360装到C盘 然后更新病毒库  把盘全部扫一遍试试。
5 楼 王者之剑 2008-11-21  
难道非IT人士也上javaeye?
要解决木马
1.TCPView查看有无异常网络连接
2.拨网线
3.procexp查看有无异常进程,有则记下在硬盘上的位置,然后杀死
4.删除硬盘上的文件
5.清理注册表(不做也可)
4 楼 sharong 2008-11-21  
huangxx 写道

小说?...

真实的血泪史啊
3 楼 huangxx 2008-11-21  
小说?...
2 楼 eyejava 2008-11-21  
中毒了首先寻求的不是杀毒软件,而是把病毒的进程找到,然后干掉他,然后再找杀毒软件。
特别是对于盯上了杀毒软件的病毒。
找病毒进程的工具有autoruns,icesword等等
1 楼 jones 2008-11-21  
呵呵,这个木马太强大了。

相关推荐

    电子工程师常犯错误大全,看看你有没有中招!

    是人就会犯错,何况是工程师呢?虽然斗转星移,工程师们却经常犯同样的错误!下面,就请各位对号入座,看看自己有没有中招。

    Opera_9.20_International_Setup

    大名鼎鼎的Opera,号称\"世界上最快的浏览器\",这是一个完全免费的标签式多页面浏览器...用Opera浏览那些含有木马、病毒代码和恶意代码的网站和网页均不会中招!Opera具有极高的安全性!是安全上网的理想浏览器!

    南阳中招成绩批量快速查询

    每秒可快速查一个学生成绩。 使用说明: 1、从自动打开考号模版,从准备的学生信息复制到原始学生的准考证、身份证号码 在黄色区域会自动生成准考证号和身份证后六位。复制这些信息 2、打开软件 点击开始运行,从弹...

    一招把病毒木马全部拒之门外

    标题中的“一招把病毒木马全部拒之门外”指的是通过特定的操作步骤,增强Windows系统安全,防止病毒和木马入侵。描述中提到的方法主要针对Windows 2k或xp用户,通过修改超级管理员密码,创建多个用户账户并设定权限...

    常见病毒、木马进程速查表

    本文将对常见病毒、木马的进程名进行详细的介绍和分析,以帮助用户检查自己的系统进程,看看是否中招。 一、病毒和木马的定义 病毒是一种可以自我复制的恶意代码,可以感染计算机系统,使其出现异常行为或崩溃。...

    电脑中招不要怕教你几招查杀病毒5个技巧

    首先,我们需要对电脑病毒有一个基本的认识。病毒是一种恶意程序,能够自我复制并感染其他计算机程序或系统,从而实现其破坏性目的。常见的病毒类型包括木马、蠕虫、宏病毒等。了解病毒的基本特性有助于我们在遇到...

    2021年河南省中招数学试题及解析.pdf

    河南省中招数学试题的知识点覆盖了中学数学的基础内容,包括实数、几何、概率、统计、方程、函数等各个方面。以下是对这些知识点的详细说明: 1. 实数的概念和比较:考查学生对实数及其大小比较的理解,例如最大数...

    河南省镇平县2020届九年级下学期中招模拟训练英语试题(二)(扫描版 ).doc

    很抱歉,但根据您给出的信息,这似乎是一个关于河南省镇平县2020届九年级下学期中招模拟英语测试的文档,包含了试题及部分答案。然而,这个场景并不适合详细讨论特定的IT知识点。如果这是一个误传,且您实际上需要...

    河南省安阳市九年级中招模拟考试(一)政治.docx

    河南省安阳市九年级中招模拟考试(一)政治.docx

    河南省许昌市2020年第一次中招模拟考试地理试卷(扫描版有答案).docx

    本次河南省许昌市2020年第一次中招模拟考试地理试卷主要涵盖了地球运动、气候特征、自然灾害、农业生产、区域差异、水资源、人口与城市、交通运输、工业布局以及环境保护等多个地理核心知识点。 1. **地球运动与...

    河南省许昌市2020年第一次中招模拟考试试卷历史(扫描版有答案).docx

    河南省许昌市2020年第一次中招模拟考试试卷历史(扫描版有答案).docx

    2019开封中招第一次模拟考试.doc

    2019年开封中招第一次模拟考试是一项重要的教育评估活动...对于教师和家长而言,这也是一个评估教学效果和指导学生学习方向的良好契机。希望通过不断的模拟考试和学习,每位学生都能在最终的中招考试中取得优异的成绩。

    通过注册表设置自动运行程序。。。并限制用户的某些权利。。。小心别中招了!

    例如,如果在`Run`键下创建一个名为“SetRun1”的键,并将其数据值设为程序的完整路径,那么每次开机时,这个程序就会自动运行。 但是,不安全的自动运行设置可能会导致病毒、木马或其他恶意软件在用户不知情的情况...

    2022年河南省中招考试模拟试题(附答案)文件.pdf

    随着互联网技术的发展,共享经济成为了一个热门话题。试题通过介绍共享经济的发展和对就业的影响,让学生对这一创新经济模式有了更深的理解。共享经济不仅是一种经济现象,更是一种社会文化现象,它反映了社会进步和...

    2022年河南省中招第二次模拟考试数学试卷及解答文件.pdf

    第18题是一个典型的几何题,它可能涉及圆的性质和相似三角形的应用。证明题目可能运用了切线性质和圆周角定理,如直径所对圆周角为直角的性质。此外,题目可能还会要求学生计算圆的半径等几何量。这类题目能够综合...

    查找asp木马程序

    针对 asp木马程序 查找 ,可设为整站查找或相对目录查找方式,让你更方便的知道您的网站是否已被“入侵”。详细列出可疑程序,可直接点击打开显示该网页的代码让你看到是否已中招

    河南中招物理预测题及答案.doc

    【标题】:“河南中招物理预测题及答案.doc”是一个针对河南省初中毕业生升学考试(中招)物理科目的预测试题集,包含试卷和答案。 【描述】:文档内容包括了一份2020年河南中考物理预测试卷,试卷格式正规,共六大...

    (完整版)河南中招政治答题卡(1).pdf

    6. **答题布局**:在部分题目中,例如10、11、12题,可以看到有多个小问号,这意味着答题时需要分点作答,每一点可能对应一个小问题的回答,需要条理清晰,逻辑分明。 7. **时间管理**:虽然文件未明确提及,但在...

    2022年河南省中招数学试题及标准答案终稿.pdf

    2022年河南省中招数学试题及标准答案终稿 本资源的标题是"2022年河南省中招数学试题及标准答案终稿.pdf",描述为同名内容,标签为"网络资源"。下面是对该资源的详细知识点解析: 选择题 1. 本题考查数字的比较,...

Global site tag (gtag.js) - Google Analytics