俺中招了！一个非常厉害的木马

很不幸，俺在10月5号左右，直到现在，2008年11月21日，整整一个半月还多的时间，什么事也没干，全在折腾这机器了。若想知道详情，且听俺慢慢道来。
由于我长期用迅雷等软件当东东，而且经常彻夜不关机，终于在9月30日左右机器出现了异常，具体表现是：
机器渐渐的一次启动总是启动不了，基本都是刚进入windows系统桌面之后，鼠标和键盘停止响应，机器就此卡住，这种事情发生后，刚开始若干天，按reset键，第二次可以启动成功.
对于这种情况，估计一开始大家都会认为是硬件问题，或者可能不是很在意，我也不例外。然而5，6天之后，这种情况就非常严重了，必须重启2次，第三次才能启动成功，而一般最多就是启动三次即可，很少需要启动4，5次机器才能正常运转的情况。在这种状况下，大部分人更会怀疑是硬件出了问题。
我为此更换了硬盘，加了内存条，结果问题还是一模一样，这其实说明我新买的内存条兼容性相当好。一开始，当在新硬盘上安装了系统之后，症状全部消失，机器不再卡，这让我大喜过望，以为真是硬盘出了严重问题。而当我将旧硬盘上的除了系统盘的数据又全部拷贝到新硬盘上之后，噩梦又开始出现了，新硬盘的表现竟然也是鼠标键盘经常停止响应，和旧硬盘一模一样，而且在随后几天里，这种状况愈演愈烈，以前用1个小时鼠标才停顿(注意，是一个小时)。结果到后来变成半小时，15分钟，甚至几分钟就卡了。我试着等过一段时间，发现只要出现停顿的情况，机器就死机了，直到后来有一天我发现，这种情况之所以出现，是由于硬盘先莫名其妙的挂起了。
硬盘在运行着的时候，突然机箱上的硬盘指示灯就变红，不再闪动，但是听到硬盘还是在正常转动，然后鼠标和键盘就停顿了，键盘NumLock键呈高亮，单击这个键不灭，键盘也死了。这真的是奇事啊，或许是硬盘和指示灯之间的连线有问题了？也未可知。
在这个时候，我还是以为是硬件出了问题，比如主板的电容爆浆了，或者网卡损坏，再或者，光驱出现问题，凡此种种。
之后我就开始使用排除法，对所有硬件进行一一排除。首先我就拆除了cpu风扇，将散热风扇清洗了一遍，结果让cpu温度下降了10度，很开心。然后排除网卡，光驱，内存，显卡，硬盘等等，后来只剩下主板，电源，声卡等少数硬件还未排除的时候，这当儿，鼠标停止越来越频繁，俺不胜其烦，重装了一下机器。结果发现，刚重装的2，3天里，系统运行的非常好，并不出现死机，卡等现象，3、5天之后，上面卡机的现象又复出现，真是气死人啊。这让我很是纳闷，原以为应该是主板坏了，毕竟老主板，用了快6年了，但现在看来并不是这么回事。
然后，木马病毒终于露出了蛛丝马迹，我发现，刚刚重新安装的QQ，竟然查杀木马的功能被屏蔽了！而用所有杀毒软件，没有查出任何病毒来！正好这个时候QQ发生了非常严重的GDI溢出漏洞！而每次重装，我都按各种文章上所说的，要全盘扫描杀毒一遍，还是不碰其他分区这种情况下杀毒。这时我感到可能是有木马在机器里，将360和金山提供的各种木马专杀全部下载运行都没有发现任何病毒，这病毒强啊。
紧接着，又发现在我的工作目录下出现了一个莫名其妙的目录SystemOnTempFiles，下面还有一个eclipse产生的那种.project文件，呵呵。赶紧下载了金山清理专家，对系统打补丁。
这个时候，这木马原形毕露了，我发现，只要是现在流行的系统漏洞和软件漏洞，这个病毒都可以利用，而且智商比较高，会阻止用户给这些漏洞打补丁。在给office2003打补丁的时候，无论如何打不上，更有一次出现这样一个提示：当前没有运行漏洞修复。真是啼笑皆非。后来没办法，只有删除office，竟然被这个病毒把windows installer搞坏了，office删除不了，或者提示只有系统管理员才能执行删除（废话！我就是用administrator登录的），或者提示系统管理员已经设置了系统安全策略，不允许删除！
最后没办法，只有下载了一个windows installer clean up，才脱去office和windows installer的关联，重装了office，搞定这个问题。
这个病毒一个很厉害的方面是，特别会伪装自己，将很多问题导向到硬件问题。当我给office2003安装sp3补丁时，用金山清理专家竟然无论如何都不能下载这个135M的大补丁，一开始还能下载到90%左右，然后机器就over了。后来，竟然只要一点修复漏洞按钮，就死机，而且同时还能听到俺的新硬盘滴的响一声，看来类似CIH能对硬件构成影响的病毒又出现了。
赶快用效率源软件查硬盘坏道，事实证明硬盘完好，没有物理坏道。可见这病毒功能多强大！
在打了大量补丁之后，发现死机现象明显有了好转，偶尔也会死一下，但是经常可以运行5，6个小时才死机了。不过，这样的状况才持续了不到3天，估计木马那头的混蛋黑客恼了，不知道搞了个什么，今天早上我一开机，竟然出现了可怕的蓝屏，一大堆提示，说新硬件有冲突，我心想，这不可能，都用了半个多月的新硬件了，怎么会现在才出提示！
用一块旧的硬盘当主盘，新硬盘当从盘，终于启动机器之后，用scandisk扫描，果然发现新硬盘的启动扇区好多文件损坏，修复了半天，用新硬盘开机，还是蓝屏！再用效率源查看，新硬盘还是没有任何问题。
郁闷啊，没办法，俺只好格式化了系统盘，重装系统，果然不出任何问题了，可是俺知道，那可恶的木马，还隐藏在其他数据盘的分区里，查不出来，心里想，现在这些杀毒软件，每天甚至几小时更新一次病毒库，这么长时间了，都查不出这么个病毒来，真tmd弱！
最后，基本确定了这是一个利用各种系统漏洞和软件漏洞的木马程序，但是现有杀毒软件全部检测不到！
更厉害的是，这个病毒似乎不是以文件的形式存在，而是隐藏在存放识别各种文件/文件头的扇区里，因为当打开一个目录/文件夹的时候死机时，当你下次进入这个目录，鼠标单击上次死机前单击过的文件时，必然还会再死机一次！感觉这个病毒可以捕捉鼠标事件(windows消息机制)，来识别病毒上一次存放的位置，而它为什么造成计算机死机，停止响应，我感觉是利用死机到重启这段时间，复制自己到其他位置，以防止杀毒软件根据一些蛛丝马迹截断或者打断网络那一头的混蛋向我的机器里发送修改各种系统参数的数据！
出现死机情况最多的情况是，正在杀毒，突然就停止了，但是听硬盘的声音，还是在正常转动！我的想法是，可能杀毒软件查到了一点什么，就在杀毒软件准备报告可疑情况之前的一刹那，这个病毒迅速启动，将鼠标和键盘停顿，将杀毒软件停止（可能是通过操纵内存溢出之类的方法使杀毒程序停止），然后迅速将自己复制到另一个位置！
而这个病毒竭力将自己的种种罪行掩饰为系统硬件冲突或者兼容性问题。说明这个病毒编写者对底层硬件中断的调用有相当的认识！
直到今天，2008年11月21日，俺已经用了诺顿，卡巴斯基，瑞星等，同时包括360，金山提供的一大堆所谓顽固木马查杀工具，仍然没有任何杀毒软件可以识别出来。整整一个半月还多的时间，俺全在折腾这机器了，后来才发现这是病毒！
最后，杀毒软件们，请快点找到查杀这个病毒的药方啊！

评论

14 楼 sharong 2011-06-22  

奥义之舞 写道

sharong 写道

强强爱妍妍 写道

说的跟天书一样. 是不是杀毒软件装了几个,互相冲突了?

不是，一年半后的今天，卡巴斯基和360终于可以查出来这个病毒了，是一个ghost.dll什么的木马，可以依附在一些服务程序上，例如mysqld.exe等。
最近卡巴和360还是老报有木马程序，是否删除，但是删除后过段时间仍然会出现。换句话说，应该是我的机器被黑客远程监控了，泪奔。。。

可怜啊 ，难道你的电脑被这个黑客当肉鸡使用了一年多么，可是他为什么要提示你硬盘有问题么，偷偷的使用不就行了么、？

现在终于发现了，哈哈，是我用盗版的卡巴斯基注册码，那个文件里有木马。至于硬盘这个，估计是，一台电脑被其他机器访问的时候，一般来说比较卡，而我的机器太老，别的机器一访问，电源就崩溃了

13 楼 奥义之舞 2011-06-22  

sharong 写道

强强爱妍妍 写道

说的跟天书一样. 是不是杀毒软件装了几个,互相冲突了?

不是，一年半后的今天，卡巴斯基和360终于可以查出来这个病毒了，是一个ghost.dll什么的木马，可以依附在一些服务程序上，例如mysqld.exe等。
最近卡巴和360还是老报有木马程序，是否删除，但是删除后过段时间仍然会出现。换句话说，应该是我的机器被黑客远程监控了，泪奔。。。

可怜啊 ，难道你的电脑被这个黑客当肉鸡使用了一年多么，可是他为什么要提示你硬盘有问题么，偷偷的使用不就行了么、？

12 楼 sharong 2010-08-23  

强强爱妍妍 写道

说的跟天书一样. 是不是杀毒软件装了几个,互相冲突了?

不是，一年半后的今天，卡巴斯基和360终于可以查出来这个病毒了，是一个ghost.dll什么的木马，可以依附在一些服务程序上，例如mysqld.exe等。
最近卡巴和360还是老报有木马程序，是否删除，但是删除后过段时间仍然会出现。换句话说，应该是我的机器被黑客远程监控了，泪奔。。。

11 楼 强强爱妍妍 2010-08-23  

说的跟天书一样. 是不是杀毒软件装了几个,互相冲突了?

10 楼 sharong 2008-12-22  

王者之剑 写道

难道非IT人士也上javaeye?要解决木马1.TCPView查看有无异常网络连接2.拨网线3.procexp查看有无异常进程，有则记下在硬盘上的位置，然后杀死4.删除硬盘上的文件5.清理注册表（不做也可）

直到今天这破木马还在困扰着我，所有杀毒软件都测不出来。前两天终于让我发现这木马竟然是靠截屏监控的，估计是过几秒给远端主机发送一次图像。怎么发现的呢？我只要用金山清理专家修补漏洞，机器就会死机，从来没有例外，昨天偶尔在修补漏洞时，我上其他网站看看 ，让清理专家在后台执行，结果一切OK，一点都不死机了，我试了好多次，都是这样，这破木马！
我已经用Tcpview等监控了机器，没用，果然是能在一段时间发现一个或几个不明网络连接，但是总是时断时续，过一会儿不明网络连接就消失了。用右键查看远程主机，只能看到网通的上网注册信息，根本拿这黑客没办法。而且网络连接还不能强行中断。
用procexp这些查看进程，根本看不到任何异常，我甚至进去看线程，也没有任何发现。

9 楼 jamesji 2008-11-23  

1 先重装系统

2.下载　Malwarebytes' Anti-Malware　并且安装到　Ｃ　盘，扫描其他盘符。

8 楼 sharong 2008-11-21  

weiruan85 写道

哎呀  我也曾经有过类似的经历 给你分享一下经验 1 先重装系统 2 完成后 进去千万别点其他盘 3 下个360装到C盘 然后更新病毒库  把盘全部扫一遍试试。

俺就是这样做的，根本查不出来

7 楼 dearshor 2008-11-21  

汗颜～～

6 楼 weiruan85 2008-11-21  

哎呀  我也曾经有过类似的经历 给你分享一下经验

1 先重装系统

2 完成后 进去千万别点其他盘

3 下个360装到C盘 然后更新病毒库  把盘全部扫一遍试试。

5 楼 王者之剑 2008-11-21  

难道非IT人士也上javaeye?
要解决木马
1.TCPView查看有无异常网络连接
2.拨网线
3.procexp查看有无异常进程，有则记下在硬盘上的位置，然后杀死
4.删除硬盘上的文件
5.清理注册表（不做也可）

4 楼 sharong 2008-11-21  

huangxx 写道

小说？...

真实的血泪史啊

3 楼 huangxx 2008-11-21  

小说？...

2 楼 eyejava 2008-11-21  

中毒了首先寻求的不是杀毒软件，而是把病毒的进程找到，然后干掉他，然后再找杀毒软件。
特别是对于盯上了杀毒软件的病毒。
找病毒进程的工具有autoruns,icesword等等

1 楼 jones 2008-11-21  

呵呵，这个木马太强大了。