V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
bobopu
V2EX  ›  问与答

完了,中木马了一个劲往系统里下载垃圾软件。

  •  1
     
  •   bobopu · 2014-06-17 22:48:18 +08:00 via Android · 4503 次点击
    这是一个创建于 3837 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨晚下载了邪恶的东西,诺顿提示有未知潜在风险,我就没运行,但是没让诺顿删除。今晚一打开电脑一会会的功夫给我自动下载了一堆垃圾软件,有百度杀毒,百度卫士,pplive酷狗音乐,wps,百度浏览器,美女视频……就一会已经下载了八九个了,还在疯狂下载。更疯狂的是这些软件压根没法卸载,提示需要管理员权限,可我已经是管理员了。强制删除文件夹结果直接给我强行关机了。断网进安全模式杀毒卸载,居然用pc喇叭给我发出各种怪叫吓人的声音……有警车声,救火车声,救护车声……真没想到几年时间木马变成这样子了,太变态了……
    40 条回复    2014-06-18 22:44:26 +08:00
    kinghenry
        1
    kinghenry  
       2014-06-17 22:58:23 +08:00
    除了格式化重装系统,没有其它办法了。还原都不行。
    halczy
        2
    halczy  
       2014-06-17 23:02:42 +08:00
    百度卫士能用吗? :-)
    kinghenry
        3
    kinghenry  
       2014-06-17 23:04:08 +08:00
    中了木马,不要指望着能把它彻底删除。现在杀毒已经是个过时的概念,基本只能防,不能真的杀
    bobopu
        4
    bobopu  
    OP
       2014-06-17 23:04:50 +08:00 via Android
    @kinghenry
    @halczy 百度卫士可以用人家说我系统很安全。。这会进去安全模式开启传说中的大杀器,诺顿强力清除器了,一会看看有效不。。
    halczy
        5
    halczy  
       2014-06-17 23:08:42 +08:00   ❤️ 1
    试下malwarebytes, 这个口碑比较好.
    https://www.malwarebytes.org/
    decken
        6
    decken  
       2014-06-17 23:09:20 +08:00
    有个笑话不是说"木马下载回杀毒软件,然后把自己杀了"的吗?
    bobopu
        7
    bobopu  
    OP
       2014-06-17 23:10:53 +08:00 via Android
    @decken 但是人家这样得到了佣金啊,人家不管杀没杀,只管有效安装就算一个佣金。
    bobopu
        8
    bobopu  
    OP
       2014-06-17 23:12:17 +08:00 via Android
    @kinghenry 这会在用诺顿自己的强力清除器看能解决不。如果不能,明天就联系赛门铁克让让他们解决,坚决不重装系统。
    myselfsteven
        9
    myselfsteven  
       2014-06-17 23:14:01 +08:00
    先断网吧,然后找源头
    bobopu
        10
    bobopu  
    OP
       2014-06-17 23:16:45 +08:00 via Android
    @myselfsteven 网已经断了
    likaci
        11
    likaci  
       2014-06-17 23:17:04 +08:00 via Android
    断网进pe 手动查杀
    bobopu
        12
    bobopu  
    OP
       2014-06-17 23:18:55 +08:00 via Android
    @likaci 进pe是个好办法。
    ejin
        13
    ejin  
       2014-06-17 23:24:27 +08:00   ❤️ 1
    没给你整个挖矿后台自动挖矿就算好的了。
    bobopu
        14
    bobopu  
    OP
       2014-06-17 23:25:57 +08:00 via Android
    @ejin 要不要这么毒??
    ejin
        15
    ejin  
       2014-06-17 23:31:31 +08:00
    @bobopu 之前我们公司一个视频监控的电脑,路由器看它一直网络不正常,但是以前的人管理网络的时候也没动过这个,而且那监控软件好像是需要网络的,根据后来的查毒报告,之前已经存在了大半年。

    没报毒的原因是,启动时候是vbs用wsh启动的,那玩意是个挖矿客户端,理论上不是病毒,所以杀软有时候也很无奈。
    fork3rt
        16
    fork3rt  
       2014-06-17 23:33:30 +08:00 via iPhone
    之前公司女同事也遇到这个问题。 请使用360安全卫士。
    dangge
        17
    dangge  
       2014-06-17 23:33:33 +08:00
    给楼主推荐个利器
    antispy 手动杀毒必备
    bobopu
        18
    bobopu  
    OP
       2014-06-17 23:35:49 +08:00 via Android
    @ejin 我擦,真是洋大夫治不了邪症
    bobopu
        19
    bobopu  
    OP
       2014-06-17 23:41:18 +08:00 via Android
    @fork3rt 把这些垃圾广告推广联盟都封杀了看他们再推广
    eirk2004
        20
    eirk2004  
       2014-06-17 23:43:53 +08:00
    楼主是不是下载了软件的安装包? 黑心站长捆绑了百度卫士/杀毒的在线安装器,这两个本身没有问题。但是在线安装器夹带了一些特殊指令,可以从云端获取配置,再执行指定的操作。感觉有点像downloader了是不是? 还好,他们都没有百度的数字签名。

    根据一些信息,这种东西来自cpa广告联盟,但是全套作案工具跟百度有千丝万缕的关系。百度为了推广自家的卫士/杀毒/浏览器,可谓不惜重金,1元/套/台电脑。在这样的诱惑下,加上方便的制作工具,有些站长干脆一不做二不休,有佣金的软件都装一遍,反正你们也会卸载。
    http://pan.baidu.com/share/link?uk=3693079262&shareid=267236922&third=0

    预防措施很简单,就是把系统UAC开启,以后碰到这种事情,系统会弹窗,选“否”就可以了。UAC同样可以防止QQ后台自动升级。同时建议不要在不知名的软件站下载东西(在线点播网站同理)。
    zk8802
        21
    zk8802  
       2014-06-17 23:44:46 +08:00 via iPhone   ❤️ 1
    如果可以的话,请楼主留个邮箱,我可以试试远程手工修复。
    bobopu
        22
    bobopu  
    OP
       2014-06-17 23:52:44 +08:00 via Android
    @eirk2004 uac以前一直关闭了,觉得好烦。下次装个科莫多试试。垃圾广告联盟气死我了。
    bobopu
        23
    bobopu  
    OP
       2014-06-17 23:53:56 +08:00 via Android
    @zk8802 感谢,诺顿这会正在清理,如果弄不好再来麻烦你。
    cxshun
        24
    cxshun  
       2014-06-17 23:57:35 +08:00
    建议楼主在PE下删除那些软件的文件夹,直接注册表删除掉那些启动项,然后全面杀次毒。国内没品的网站特别多,特别是啥华军,牛华之类的,非要搞个下载器,安装工具之类的。
    vmebeh
        25
    vmebeh  
       2014-06-17 23:59:36 +08:00
    UAC不怎么麻烦吧,也就偶尔有越权的操作才有提示,而且基本还是用户点出来的。
    手杀能杀光的,只是比较麻烦。一般病毒/恶意软件都做了免杀,多种杀毒软件都能通过才会发出来。
    更新杀软病毒库之后断网杀毒比较好。
    hellov22ex
        26
    hellov22ex  
       2014-06-18 00:04:29 +08:00
    进入安全模式手动砍吧,基本都装C盘的
    bobopu
        27
    bobopu  
    OP
       2014-06-18 00:06:40 +08:00 via Android
    @cxshun 好办法。
    mimzy
        28
    mimzy  
       2014-06-18 00:11:58 +08:00
    试试QQ电脑管家 曾经遇到过类似的问题 它好像有清除恶意插件的功能 后来解决了
    bobopu
        29
    bobopu  
    OP
       2014-06-18 00:22:36 +08:00 via Android
    @mimzy 这病毒主动的给我把管家装上了。。
    ChiangDi
        30
    ChiangDi  
       2014-06-18 00:37:29 +08:00 via Android
    病毒居然自己安装杀毒软件哈哈哈哈,太讽刺那些杀毒软件了
    faceair
        31
    faceair  
       2014-06-18 00:39:19 +08:00
    csx163
        32
    csx163  
       2014-06-18 00:44:27 +08:00
    安全模式喇叭会响么
    konakona
        33
    konakona  
       2014-06-18 00:47:11 +08:00
    還記得年輕的時候通過觀察進程,找到源頭(多個)並逐個排查復制體(蛆蟲啦),找到本體,然後利用各種粉碎工具拯救了我的系統。
    現在的木馬很擅長偽裝和隱藏進程。
    而且我基本上也只敢打開信任的網站,尤其是下載的文件更是非常謹慎。
    看到exe格式的zip(自動解壓縮)文件,我就要右鍵看看執行了什麼命令。(當然部分或加殼綁定其他exe,但是目前還沒中過)
    Quaintjade
        34
    Quaintjade  
       2014-06-18 00:49:24 +08:00
    @fork3rt 木马已经往LZ电脑装了百度、企鹅,再装个数字进来大概会BOOM的。。。

    上次不是有个勇士直接往物理机装了多款安全软件,结果把SSD弄挂了吗?
    lm902
        35
    lm902  
       2014-06-18 00:55:45 +08:00
    Windows XP不支持UAC,又是一个Windows XP渣渣的理由
    skydiver
        36
    skydiver  
       2014-06-18 08:19:15 +08:00 via iPad
    关闭UAC。。。哈哈。。果真自己坑自己。。。
    zjuster
        37
    zjuster  
       2014-06-18 19:10:44 +08:00
    看到下载百度卫士,为什么我突然觉得360管治...哈哈。
    bobopu
        38
    bobopu  
    OP
       2014-06-18 20:31:36 +08:00
    @zjuster 被你说中了,最后是进安全模式用360急救箱初步处理后,用Dr.web的cureIT狂轰乱炸一番,歼灭40多个木马后终于好了。。。
    zjuster
        39
    zjuster  
       2014-06-18 22:06:51 +08:00
    @bobopu 我虚拟机遇到过一次,直接360安全卫士查杀了...数字的安全水平还是比金山百度QQ卫士牛的。
    jeansfish
        40
    jeansfish  
       2014-06-18 22:44:26 +08:00
    @bobopu uac哪里烦了呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3330 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 00:17 · PVG 08:17 · LAX 16:17 · JFK 19:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.