Posted by bianbian on 2010-05-11 06:52
本文Tags: 木马
晕,话说我这个只上少数几个网站的人也会中木马。。。。
这个wmdrtc32.dll可不是一般的木马,具有注入、驱动等多种手段
而且更狠的是,无法安全模式启动,一进安全模式就蓝屏。。。
这次中招的居然是从sourceforge.net下的一个项目的执行文件,在这里曝光一下:
http://sourceforge.net/projects/flvconverternet/
360能检测到威胁,但是没办法彻底杀干净。。。
郁闷,还没找到解决办法。。。有谁知道怎么清除告诉我一声,谢了。
我的机器不可能重装,里面eclipse有5个(java、aptana、IDL、Flex、php),visual studio有3个(vc6、2005、2008),Delphi有2个,还有python、ArcGis、oracle、ENVI、。。。
要重装直接杀了我吧。。。
这个网页对这个病毒进行了详细的分析:
http://www.threatexpert.com/report.aspx?md5=8f0020f81ab2be1e9136ce831fbc525f
最后补充:无奈下装了360杀毒软件。。。
这个无良的Sality,居然把硬盘的exe全感染了。。。一点毒品都没有!!!
标签:
木马遵守创作共用协议,转载请链接形式注明来自
http://bianbian.org 做人要厚道
相关日志
Posted in Technology | 1 Comment »
Posted by bianbian on 2006-09-21 12:03
本文Tags: 木马
从来不装杀毒软件,我也从来不乱装东西,乱看网页。基本上没事。不装杀毒软件是因为这个不仅会拖慢系统,而且是个马后炮,真正厉害的病毒来了大家一起挂;而且现在杀毒软件越来越像个病毒了。。。。
寒,机器被谁用了下,就被装了个木马。因为我的机器做了个代理,访问网站是有日志的。发现系统最近老是去下载某个叫816.exe的文件。感觉不对。
首先看了下任务管理器,没有奇怪的进程--肯定注入到其他进程里了(基本上是可怜的Explorer.exe)。
用Sysinternals Process Explorer看了下,果然,Explorer.exe所有使用的DLL里有个DLMon.dll,是个奇怪的东西。google了一下,果然是个盗QQ密码的木马。
于是用Sysinternals Process Explorer杀了Explorer.exe的进程,运行cmd,cd C:\windows\system32,del DLMon.dll,居然提示没找到--肯定又用了attrib的伎俩,那可是高中DOS时代的法宝--于是先 attrib *Mon.dll -s -h,del DLMon.dll,这下干净了。同时system32还有一个DLMain.dll,也要删除。
再运行Explorer.exe,没有奇怪的附加DLL,基本上可以了。然后regedit,搜RunOnce,把RunOnce里和Run里莫名奇妙的一些exe启动项(包括指定的文件)给删了:
C:\windows\system32\intenet.exe (Windows正常的是internet.exe,少了个r)
C:\windows\816.exe (还有系统的temp里肯定也有)
C:\windows\Program Files\Intel\rundll32.exe (寒Intel)
OK了。如果能抓到写这些垃圾软件的,一定要大家一起动手打一顿。
标签:
木马遵守创作共用协议,转载请链接形式注明来自
http://bianbian.org 做人要厚道
相关日志
Posted in Technology, Windows | 1 Comment »