平静的教师节,木马依然活跃。
这已经是我第三次更改QQ密码后出现“您的QQ/TM正在别处登录,您被迫下线”的提示了,忍无可忍的我终于下定决心要把这个问题彻底解决。
在网上一搜才发现原来有那么多人都跟我有同样的遭遇,有人做过调查后说这是中了一种木马,它不改用户的资料和密码,只专门偷Q币。起先还侥幸的认为是腾讯服务器出了问题,现在更加坚定了我查杀木马的决心。
首先是普通的杀毒工具查杀,诺顿病毒库已经更新到了9月6日,全面扫描的结果是系统完好,看来诺顿是指望不上了。
在网上找了木马克星来杀,结果杀出一个灰鸽子木马:C:\windows\G_server123.exe。删除以后还是不放心,在网上找了灰鸽子G_server的相关资料查看,发现还有相关的G_Server.hook.exe等文件,于是再次在windows中查找包含hook字符的文件名,第一次没找到任何结果,后来才发现系统隐藏文件默认情况下是不在搜索范围内的,于是更改搜索范围,重新查找,竟然意外找到C:\program files\internet explorer\plugins\winhook.sys和C:\program files\internet explorer\plugins\winhook.jmp这两个可疑的文件。立刻在百度上搜索这两个文件名,结果是一个木马的典型文件名。于是打开procexp准备把打开这两个文件的句柄全部关掉然后把文件删除,可用procexp搜索的结果让我大吃一惊,俺的个乖乖:QQ,ie,explore,svchost,cftmon……几乎所有与上网和密码有关的程序全都加载了这个文件,看来只好到安全模式下删了。启动到安全模式下后还是不能删除,于是只好用启动盘启动到dos下删除。
把这两个文件删除后原以为已经找到木马并清楚了,但抱着好奇的心理又多找了几个木马查杀工具来试试,用windows清道夫在分析可疑加载模块时有发现一个可疑文件:C:\program files\internet explorer\plugins\system.sys。用百度查找system.sys的结果又是一个木马的典型文件名。于是再次启动到dos下删除。
至此,能找到的木马都已经清除了,但是否还有潜伏在本机上的木马不得而知,留着QQ以观后效。
PS:狂汗,晚上又用木马清道夫把硬盘全面扫了一遍,结果又扫出一摩多木马——
C:\WINDOWS\tasks\DM_Install_Program.job
C:\WINDOWS\_MSRSTRT.exe
D:\Program Files\wanmeixiezai\IdleUI.dll
D:\Program Files\IPAGE5.0Enterprise\Bin\UDLL.DLL
D:\Program Files\VPC5.2\Uninstall Driver.exe
D:\Program Files\VPC5.2\Install Driver.exe
C:\WINDOWS\system32\MSWINSCK.OCX
……………………
这已经是我第三次更改QQ密码后出现“您的QQ/TM正在别处登录,您被迫下线”的提示了,忍无可忍的我终于下定决心要把这个问题彻底解决。
在网上一搜才发现原来有那么多人都跟我有同样的遭遇,有人做过调查后说这是中了一种木马,它不改用户的资料和密码,只专门偷Q币。起先还侥幸的认为是腾讯服务器出了问题,现在更加坚定了我查杀木马的决心。
首先是普通的杀毒工具查杀,诺顿病毒库已经更新到了9月6日,全面扫描的结果是系统完好,看来诺顿是指望不上了。
在网上找了木马克星来杀,结果杀出一个灰鸽子木马:C:\windows\G_server123.exe。删除以后还是不放心,在网上找了灰鸽子G_server的相关资料查看,发现还有相关的G_Server.hook.exe等文件,于是再次在windows中查找包含hook字符的文件名,第一次没找到任何结果,后来才发现系统隐藏文件默认情况下是不在搜索范围内的,于是更改搜索范围,重新查找,竟然意外找到C:\program files\internet explorer\plugins\winhook.sys和C:\program files\internet explorer\plugins\winhook.jmp这两个可疑的文件。立刻在百度上搜索这两个文件名,结果是一个木马的典型文件名。于是打开procexp准备把打开这两个文件的句柄全部关掉然后把文件删除,可用procexp搜索的结果让我大吃一惊,俺的个乖乖:QQ,ie,explore,svchost,cftmon……几乎所有与上网和密码有关的程序全都加载了这个文件,看来只好到安全模式下删了。启动到安全模式下后还是不能删除,于是只好用启动盘启动到dos下删除。
把这两个文件删除后原以为已经找到木马并清楚了,但抱着好奇的心理又多找了几个木马查杀工具来试试,用windows清道夫在分析可疑加载模块时有发现一个可疑文件:C:\program files\internet explorer\plugins\system.sys。用百度查找system.sys的结果又是一个木马的典型文件名。于是再次启动到dos下删除。
至此,能找到的木马都已经清除了,但是否还有潜伏在本机上的木马不得而知,留着QQ以观后效。
PS:狂汗,晚上又用木马清道夫把硬盘全面扫了一遍,结果又扫出一摩多木马——
C:\WINDOWS\tasks\DM_Install_Program.job
C:\WINDOWS\_MSRSTRT.exe
D:\Program Files\wanmeixiezai\IdleUI.dll
D:\Program Files\IPAGE5.0Enterprise\Bin\UDLL.DLL
D:\Program Files\VPC5.2\Uninstall Driver.exe
D:\Program Files\VPC5.2\Install Driver.exe
C:\WINDOWS\system32\MSWINSCK.OCX
……………………