一月木木 - 2009-1-31 20:55:00
首先祝各位大哥新春快乐哈,下面我尽量表达清楚一点,你说这大过年的就给木马们送去了5000+G的红包!不会吧?不是很多?那可是我的血汗钱啊!!
从前我小号遇到过一种盗号方式是强行将你弹出,之后你肯定想登陆,你打开WOW后就傻傻乖乖的输入帐号密码和密保,其实那是个假的登陆界面,你输入完后就出现一个什么错误,接着假的登陆界面就自动关闭,盗号者就进入了你的帐号一把一把地拿G了.....(希望大哥们耐心看下去)
前几天回家,下好WOW,用的是精灵插件,兴致勃勃的上了WOW(中间下了个IS,但是点那个安装程序没反应,点了几次都没反应,之后有到别的网站下了一个.我怀疑是不是这个IS把木马引到我家.)接着我的WOW就被强行关闭,再登陆,输完密保之后出现什么密码错误和帐号被锁那提示.接着我就急了,心想着是被盗了...于是到官网那想把帐号锁起来,但是我输入原来的密码的时候提示密码错误...那木马也忒可恶,索性把我密码也改了,还想占有我整个帐号.通过邮箱修改密码后,我再次登陆WOW(觉得G已经没了,登陆也没什么危险..)发现G果然没了,会里的人还说我刚才在卖卡.(这就是第一次被盗的过程,之后杀过毒,但是没杀出什么.)
接着到了昨天下午,WOW再次被强行关闭,由于上次的经验,我每次上号前都设置5分钟后帐号从新锁定,这时我就意识到了有木马,原来那个木马还没走,窘哦...之后我就没再登陆,在网上弄了个WOW木马专杀工具,金山那个.我晕还是杀不出什么来.大概10分钟后我再次解锁登陆,发现人物还是在原来的地方,G还在,接着WOW又被强行关闭...我就再没登陆了,检查WOW文件夹,发现有两个奇怪的文件夹,貌似是木马生成的假文件夹.一个叫[interface2009128],另外一个是[WTF2009128],大家知道正常的后面应该没有日期的,于是后来我把这两个彻底删除了.删除后登陆WOW,帐号的G还在.
到了昨天晚上,很简单,WOW再次被强行关闭,我依然解锁(5分钟后自动锁上),登陆成功,G还在...30秒又被强行关闭,之后我登陆就显示什么密码错误帐号锁定,我去官网查过了,密码都正确,也还没锁上,因为5分钟还没到.10分钟后我再次登陆.G又是长了翅膀飞了...还有很多材料也不见了.
基本上我的两次被盗过程就是这样了,补充:每次被强行关闭,我尝试着登陆,输入第一第二个密保位置的时候退出,然后再输入帐号密码进入输入密保步骤,发现要输入的密保位置和上次的一样,我怀疑是木马搞的鬼.
分析:我觉得很奇怪的是,为什么昨天下午的时候我的号没事,到晚上就有事了?那两个文件夹的作用是什么?还有之前我下的那个没反应的IS?我之前怀疑是木马采用了键盘记录工具,把我的密码记下,在别的地方登陆,但是我已经把帐号锁了啊.__________好,我们来看昨天晚上的被盗过程,假设他已经知道我帐号密码,把我强行关闭后,我把帐号解锁,在这5分钟之内,他登陆了我的号然后把G带走...但是,他又是运用什么手段强行关闭我的WOW呢?说明我家还不安全...我用了360顽固木马查杀和WOW木马专杀依然查不出什么东西.
今天我又用卡卡上网助手来杀过,运用了流氓软件和恶意程序扫描,接着居然出现了盗号木马,于是我点清除,第一次清除未成功,第二次清除的时候机器自动从新启动,之后我再用卡卡来扫描,发现木马已经不见了(难道是被杀掉了?)。那木马的位置我记得是在C\WINDOWS\SYSEM的位置的,但是很可惜我忘记名字了.
但是,今天晚上我登陆的时候,几分钟过后,发现自己的WOW又被强行关闭,想登陆的时候又出现之前说的情况,说明木马并没有被删除…..但是我用卡卡扫描又扫描不出什么了…
你们哪位高人能帮帮我啊?难道我真的要重装系统了?
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
一月木木 - 2009-1-31 20:55:00
各位大虾 帮帮我啊....
天月来了 - 2009-1-31 20:59:00
描述过多
我看晕了
扫SRENG日志发这论坛来
下载最新版本的SRENG工具:
http://www.kztechs.com/sreng/download.html操作方法可以看这贴2楼:
http://bbs.ikaka.com/showtopic-8442813.aspx1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,将日志文件发这论坛来。
建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志,就原贴接贴发日志即可。
不过我回家了
没法看日志了
等其他人看吧
一月木木 - 2009-1-31 21:01:00
好的,谢谢了,希望能有所帮助,但是这个日志是扫描日志吗?我多扫描不出什么东西来啊...
丨曉丨皮蛋丨 - 2009-1-31 21:09:00
你死定了
一月木木 - 2009-1-31 21:13:00
大哥,运用你的方法扫描过了,但是有一个问题.我刚刚打开那软件那时候,屏幕的右下方弹出一个警告.
说我下面的函数内容与预期的值不符,可能被一些恶意的软件所修改:
RVA 错误: LoadLibraryA
RVA 错误: LoadLibraryExA
RVA 错误: LoadLibraryExW
RVA 错误: LoadLibraryW
RVA 错误: GerProAddress
另外,下面是扫描过后的日志.
拜托大家了....
附件:
SREngLOG.log
一月木木 - 2009-1-31 21:17:00
还有其他高手来帮下我吗,救命啊.........
一月木木 - 2009-1-31 21:52:00
又有新发现拉,当启动SRENG工具是,点[启动项目]时提示: 注册表值AppInit_DLLs被修改为非正常值(默认值为空).....
谁能帮我分析一下哈.
JayFaye - 2009-1-31 22:09:00
大概看了一下没发现病毒
aryda - 2009-1-31 22:41:00
说下我个人的看法...
我也曾是魔兽的玩家..楼主的心情可以理解...写了这么多..大家都可以看出楼主的心情的 ..
首先楼主在自己的机子上被盗号时就应该明确中病毒了..不要没扫出来就不理了..然后你下的程序应该先扫描再运行...点击没反应是典型的病毒特征...正常的软件要么运行,要么报错的..第三,楼主不要同时装两个杀毒软件...360和卡卡也没必要同时运行..这不会增加你机子的安全程度..
关于你机子的木马..既然你说在你的机子上仍有盗号现象,,.我个人觉得还是存在的..不嫌麻烦的话...请先扫描一下的wow文件夹..然后运行wow..再用SREng扫描一次你的电脑传上来..然后先不要关wow..在开始运行里面输入"cmd"...再输入"netstat -nao" ..在窗口标题栏右击选择"编辑"-->"全选",再次右击选择"编辑"-->"复制",然后打开记事本粘贴一下就可以了!..结果一样传上来....如果还有木马的话就 可能看见的..
一月木木 - 2009-1-31 23:20:00
好的 我会按照楼上的做..
刚才又出现了我所说的现象..不过后来又恢复正常了...失去了扫描的最好时机...另外
能考虑下我8楼的回复中所说的问题吗
aryda - 2009-1-31 23:33:00
那是正常的..修改的是卡卡助手..兵家必争之地..安全软件肯定要先下手的..不用担心..
夲號ヱ被ジ盜 - 2009-1-31 23:38:00
[C:\WINDOWS\system32\xunyount.dll] [N/A, ]
Winsock 提供者
xunyou over MSAFD Tcpip [TCP/IP]
C:\WINDOWS\system32\xunyount.dll(, N/A)
xunyou over MSAFD Tcpip [UDP/IP]
C:\WINDOWS\system32\xunyount.dll(, N/A)
xunyou over MSAFD Tcpip [RAW/IP]
C:\WINDOWS\system32\xunyount.dll(, N/A)
xunyou
C:\WINDOWS\system32\xunyount.dll(, N/A)
夲號ヱ被ジ盜 - 2009-1-31 23:40:00
原帖由 一月木木 于 2009-1-31 21:52:00 发表
又有新发现拉,当启动SRENG工具是,点[启动项目]时提示: 注册表值AppInit_DLLs被修改为非正常值(默认值为空).....
谁能帮我分析一下哈.
<AppInit_DLLs><kmon.dll> [(
Verified)Beijing Rising Information Technology Corporation Limited]
瑞星劫持的,没事
底下的那个什么什么入口点错误也没事
是常规提示
backway - 2009-2-1 9:35:00
日志未发现问题
日志也不是万能的,有的部分也扫不到
建议搜索下在盗号这段时间里系统增加了哪些文件,搜索时勾选系统与隐藏文件。另外也到安全模式下用杀毒软件扫描下。
一月木木 - 2009-2-1 9:53:00
楼上说的安全模式下杀毒我可以去尝试一下.但是搜索系统增加文件这个我不会弄哦..怎么弄的?
还有十三楼的回复是日志所出现的问题还是?
再有我之前6楼说过的打开SRENG工具时所提示的函数内容与预期值不符会不会是病毒搞的鬼?
backway - 2009-2-1 9:59:00
sreng可以不用管了,它的警告也忽视
一月木木 - 2009-2-1 11:29:00
盗号的情况又出现了,按照了10楼的做法做了,下面是日志和另外一个.请大家帮忙分析一下.
附件:
SREngLOG.log 附件:
复制后的.txt
aryda - 2009-2-1 21:15:00
不好意思..SREng的日志还是看不出有病毒..版版在上面也帮你看了..他经验比我高很多,很可信的..
在你网络连接记录上,就是第2个(复制后的.txt),我觉得有2个连接有点可疑..
TCP 192.168.1.101:1102 58.218.207.79:80 CLOSE_WAIT 3704
TCP 192.168.1.101:1106 211.103.158.63:80 CLOSE_WAIT 3704
上面记录的意思就是 pid 3704,也就是你sreng日志里面:
PID: 3704 / CMT][E:\World of Warcraft\BigFoot.exe]
你一看就知道是魔兽了,这个程序打开了端口号为80的网络连接,并连接到地址为58.218.207.79和211.103.158.63,这两个地方.
上面的记录有两个可疑的地方.
1 正常的魔兽连接端口号为443. 80这个端口很常用不过这里用起来很奇怪,魔兽的官方曾用过,看网上说好像是bug.木马程序也常利用来传帐号密码的..
2 上面那两个地址并不在魔兽的官方服务器表上,具体见下面的链接.如果你知道你区的服务器地址,你可以自己查证一下.方法是比如在cmd 里面打"ping bbs.ikaka.com" 就可以知道卡卡的ip地址.上面那2个地址在网上根本搜不到,几乎不可能是九城的服务器的.连接的莫名其妙.
魔兽世界服务器IP地址
http://hi.baidu.com/luna_kiss_moon/blog/item/558f26db6aa64460d0164ec2.htmlhttp://zhidao.baidu.com/question/24202385.html?fr=qrl不过很遗憾上面2个疑问没法和你说电脑一定就有木马的..这种情况如果是我个人的话..我会找一些软件来查看是什么程序来打开这两个网络连接的...这已经涉及到比较专业的电脑知识...不推荐为杀个病毒这么费功夫..而且找到的希望似乎不大..我个人的建议是
既然日志挺正常,也就是说电脑开机后是病毒是没有自动运行.个人觉得病毒藏在魔兽的文件夹下.楼主可以把魔兽卸载了.重启后换个位置重新安装.当然也有可能病毒已经不存在了,有点多次一举.楼主请自己考虑一下.
ps;叫楼主重发日志,也没看出问题。白忙一场了,见谅个。
backway - 2009-2-2 9:40:00
已经说了日志没问题了
如果还感到有问题,有盗号情况,就在你感到是假的账号密码框出现的同时扫sreng日志试下
之前叫你看增加的文件也白说了
一月木木 - 2009-2-2 19:42:00
又发现了盗号现象...并且已经证实木马者可以侵入我的电脑并且盗取各种密码,包括QQ.
关于21楼的,那IP地址的确是不正常的,我去看过了.
再有22楼的,那日志就是当假的帐号密码框出现的时候我扫描的....关于多余的文件那个我扫描过了,最近几天的太多,我看得头晕了........
我觉得,扫描不出的话是不是别人通过什么端口来监视我的电脑,并随时侵入,盗取帐号密码?
谢谢大家的热心帮助
aaccbbdd - 2009-2-2 20:59:00
系统补丁是否打全了?
一月木木 - 2009-2-2 21:30:00
真的我快要疯了,刚刚赚的2000G又没了.难道我真的要重装系统了?
刚刚我用楼上所给的DR.WEB扫描过了,居然发现很多病毒,不知道扫描干净了没....
下面是我扫描后的报告(解压后可看),另外,我上一次的盗号过程是:我被强行弹出后我就再没登陆过,也就是发现那个上假的登陆界面后我就没登陆了,等了一段时间,出现真的登陆界面,我上了我的号,结果发现我的G又不见了,所以断定,那人知道我的帐号密码,还有密保..
附件:
DrWeb.rar
aaccbbdd - 2009-2-2 21:38:00
使用第三方软件打补丁看看情况
自动更新不能打第三方的漏洞
一月木木 - 2009-2-3 0:24:00
楼上的
我用360检查过了,补丁已经全部安装上.
晕,我用了DR.WEB杀过毒后,还是出现盗号现象,是不是没得救了,关于21楼提到的,能不能从他那个入手?
aaccbbdd - 2009-2-3 0:32:00
可以
看看什么进程是这么连接的
(使用冰刃查看)
80端口
对应的Ip应该是网站
即:浏览器窗口输入Ip地址可以打开网页
© 2000 - 2025 Rising Corp. Ltd.
