最近WOW盗号频繁，希望在这里能得到答案。第一次发帖，不知道发错地方没. bbs.ikaka.com

Lernd - 2009-5-9 15:57:00

http://bbs.ngacn.cc/read.php?tid=2375077&fpage=1&toread=&&page=1

上面是NGA的关于讨论近期被盗号的帖

本人就是受害者之一
用瑞星卡巴诺顿 NOD 等杀软全盘查杀没发现任何可疑文件或者类木马文件并且用的都是最新版本
我是5月3日被盗的

所有受害者基本都是4月底-5月初期间中招
是不是这个时间里爆发了什么流行性木马？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

aaccbbdd - 2009-5-9 15:58:00

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

Lernd - 2009-5-9 16:06:00

附件: SREngLOG.log (2009-5-9 16:06:23, 47.00 K)
该附件被下载次数 199

是这样么？
谢谢你的回复这么快。。

夲號ヱ被ジ盜 - 2009-5-9 16:10:00

日志个人认为无异常

那只烤狮子复制的怎么能不快
:default6:

可疑文件：
驱动程序
[atksgt / atksgt][Running/Auto Start]
<system32\DRIVERS\atksgt.sys><N/A>（应该为微软签名）
[FXDrv32 / FXDrv32][Stopped/Manual Start]
<\??\H:\FXDrv32.sys><N/A>
[lirsgt / lirsgt][Running/Auto Start]
<system32\DRIVERS\lirsgt.sys><N/A>

[XDva200 / XDva200][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\XDva200.sys><N/A>

aaccbbdd - 2009-5-9 16:14:00

sreng-启动项目－－服务－－驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务）
[XDva200 / XDva200] <\??\C:\WINDOWS\system32\XDva200.sys>

是否使用代理服务器？

Lernd - 2009-5-9 16:24:00

没使用代理服务器
是否把这个服务删除了就不会被盗号了？
被盗之后没重装系统怀疑盗号木马仍然在系统中。。。
真快被折磨疯了重装需要大量的备份我没那个时间备份啊。。。

aaccbbdd - 2009-5-9 16:30:00

sreng不能对抗rootkit病毒

http://bbs.kafan.cn/viewthread.php?tid=459626&highlight=
扫下看看情况

Lernd - 2009-5-9 16:37:00

正在扫描
本号被盗兄弟提供的那几个服务删除不？

Lernd - 2009-5-9 16:41:00

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started 2009年5月9日 - 16:42:55
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 9.76 GB
- Working disk free size : 914.85 MB (9 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden value : HKEY_USERS\S-1-5-21-515967899-162531612-682003330-1003\Software\SecuROM\License information -> datasecu
Hidden value : HKEY_USERS\S-1-5-21-515967899-162531612-682003330-1003\Software\SecuROM\License information -> rkeysecu

--------------------------------------------------------------------------------------------------------
Files: 0/133022
Registry items: 2/237102
Processes: 0/38
Scan time: 00:03:35
--------------------------------------------------------------------------------------------------------
Active processes:
- jnbwpdlh.exe (PID 776) (Avira AntiRootkit Tool - Beta)
- ImeUtil.exe (PID 3292)
- System (PID 4)
- SMSS.EXE (PID 548)
- CSRSS.EXE (PID 608)
- WINLOGON.EXE (PID 632)
- SERVICES.EXE (PID 676)
- LSASS.EXE (PID 692)
- SVCHOST.EXE (PID 856)
- SVCHOST.EXE (PID 900)
- CCenter.exe (PID 952)
- SVCHOST.EXE (PID 960)
- RavTask.exe (PID 1000)
- SVCHOST.EXE (PID 1076)
- SVCHOST.EXE (PID 1128)
- RavMonD.exe (PID 1256)
- SPOOLSV.EXE (PID 1396)
- SVCHOST.EXE (PID 1484)
- AppleMobileDeviceService.exe (PID 1512)
- mDNSResponder.exe (PID 1540)
- NVSVC32.EXE (PID 1728)
- EXPLORER.EXE (PID 1880)
- RTHDCPL.EXE (PID 1984)
- ScanFrm.exe (PID 148)
- SVCHOST.EXE (PID 176)
- EM_EXEC.EXE (PID 276)
- RSTray.exe (PID 288)
- ALG.EXE (PID 1628)
- iTunesHelper.exe (PID 1828)
- RUNDLL32.EXE (PID 1920)
- rsnetsvr.exe (PID 1996)
- RsTray.exe (PID 1180)
- rssafety.exe (PID 2060)
- CTFMON.EXE (PID 2084)
- iPodService.exe (PID 2572)
- iexplore.exe (PID 3364)
- firefox.exe (PID 3124)
- avirarkd.exe (PID 2152)
========================================================================================================
- Scan finished 2009年5月9日 - 16:46:31
========================================================================================================

夲號ヱ被ジ盜 - 2009-5-9 16:43:00

引用:

原帖由 Lernd 于 2009-5-9 16:37:00 发表
正在扫描
本号被盗兄弟提供的那几个服务删除不？

不删
只是可疑
建议将文件发上来（Rar压缩文件）

Lernd - 2009-5-9 16:44:00

引用:

原帖由 夲號ヱ被ジ盜 于 2009-5-9 16:43:00 发表

引用:

原帖由 Lernd 于 2009-5-9 16:37:00 发表
正在扫描
本号被盗兄弟提供的那几个服务删除不？

不删
只是可疑
建议将文件发上来（Rar压缩文件）

将你提供的那几个服务压缩传上来？
我试试看。

Lernd - 2009-5-9 16:49:00

附件: sys.rar (2009-5-9 16:48:36, 100.67 K)
该附件被下载次数 203

只能提供这两个了

H：的那个查无此人
XDVA的那个已经删除

就剩这俩了

aaccbbdd - 2009-5-9 17:07:00

文件发到可疑文件交流区

Lernd - 2009-5-9 17:39:00

帮我看下扫描结果谢谢了

附件: avirarkd.log (2009-5-9 17:38:53, 5.66 K)
该附件被下载次数 230

aaccbbdd - 2009-5-9 17:47:00

无病毒

Lernd - 2009-5-9 17:50:00

.............那我是如何被盗号的？
难道有完成盗号自动销毁的木马程序？
或者说完成盗号自动隐藏的木马？
这世界太神奇了。。。

夲號ヱ被ジ盜 - 2009-5-9 17:53:00

有
这个最好编了
加个if语句
如果进程退出（就是你的游戏）
则删除XXX。。。。。

backway - 2009-5-9 17:54:00

碰到好几个这些类子，系统没看出问题，但还是有盗号发生。
建议卸载源程序，删除其安装文件，然后到官网重新下载游戏安装。仅仅是建议。

Lernd - 2009-5-9 17:54:00

传说中的杀人于无形？
那这木马自动删除了，不会死而复生吧？留了个尸体之类的等着复活。。

Lernd - 2009-5-9 17:57:00

引用:

原帖由 backway 于 2009-5-9 17:54:00 发表
碰到好几个这些类子，系统没看出问题，但还是有盗号发生。
建议卸载源程序，删除其安装文件，然后到官网重新下载游戏安装。仅仅是建议。

看我一楼帖的网址了么。。NGA好多人中招啊，而且是一个时间段。。。
我要被折磨疯了。。
我到底应该不应该重装系统啊。。。
这年头，重装系统太麻烦了。。将近1T的东西需要备份。。

aaccbbdd - 2009-5-9 18:08:00

只能说：偷看也可以盗号........

Lernd - 2009-5-9 18:24:00

我在家里玩从来没去过网吧
我的账号和密码我发誓只有我自己知道密保卡也是只有我自己有而且是物理性质的
我是会长在保护账号方面可以说做的一点都不含糊
我就不明白了我是怎么被盗的
我用的是正版瑞星被盗的时候啥都没查出来
NOD 卡巴 360 也都没查出来

Lernd - 2009-5-10 2:56:00

看来是解决不了了。。。

文物2 - 2009-5-10 11:18:00

你好，你在家用路由器的吗？上网时使用内网地址还是公网地址？
一般来说。相当多的系统是由漏洞进入的。
今天的conficker病毒使全世界有1500万台机器受到感染。使用了08-067漏洞，利用这个漏洞的不止这一个病毒，首先，你应该打全补丁。hacker利用了漏洞后，一般来说，是打开终端服务。
你先查看一下自己的系统有没有隐藏的超级账号？
打开regedit.
HKEY_LOCAL_MACHINE-SAM-SAM.在SAM上点击鼠标右键-权限，给administrators以完全控制权限。

关掉注册表，重新打开。
然后看看我的电脑\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Accounts\Users\NAmes\下有没有隐藏账号？

hacker可以通过隐藏账号登录你的系统。你应该关注一下这里的键值。

即使没有隐藏账号，也会上传些别的东西或比如键盘击打记录器。

我不清楚你是否使用了帐号保险柜。也并不清楚账号保险柜的工作原理。相对的我也没有玩游戏，所以来说，并不能清楚的了解帐号的失窃过程。

不过，你如果能够清楚的了解本机的安全环境，对我也是一种帮助！你说呢:kaka1:
+++++++++++++++++++++++++++++++++++++

如果你使用公网地址，你应该看看上面的内容。如果你使用的内网地址，你应该看一下路由器记录。因为，内网上线首要作的，是攻击路由器。:kaka1:

Lernd - 2009-5-10 16:38:00

普通的ADSL上网网通线路
注册表按照你说的弄了没发现隐藏账号

文物2 - 2009-5-11 16:07:00

你好，把你的
c:\windows\system32\nwiz.exe
D:\StormII\Codec\QTTask.exe
C:\WINDOWS\system32\NeroCheck.exe
这三个文件上报给瑞星
http://up.rising.com.cn
用Sreng修复注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
<N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install> [Microsoft Corporation]
为

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
<N/A><C:\WINDOWS\system32\Rundll32.exe> [Microsoft Corporation]

下载smtrpl工具替换mscories.dll文件
smtrpl工具和mscories.dll下载地址：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689
http://bbs.ikaka.com/showtopic-8417665.aspx
用Sreng删除以下驱动
[atksgt / atksgt][Running/Auto Start]
<system32\DRIVERS\atksgt.sys><N/A>
[FXDrv32 / FXDrv32][Stopped/Manual Start]
<\??\H:\FXDrv32.sys><N/A>
[lirsgt / lirsgt][Running/Auto Start]
<system32\DRIVERS\lirsgt.sys><N/A>

[XDva200 / XDva200][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\XDva200.sys><N/A>

用Sreng修复文件关联
.TXT Error. [C:\WINDOWS\notepad.exe %1]
.CHM Error. ["hh.exe" %1]
.INI Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
xdelbox下载地址
www.dododou.com\down
下载xdelbox，重启并删除下列文件。
c:\windows\system32\drivers\atksgt.sys
h:\fxdrv32.sys
c:\windows\system32\drivers\lirsgt.sys
c:\windows\system32\xdva200.sys

+++++++++++++++++++++++++++++++++++++
你留有路由器的记录吗？你使用了账号保险柜功能吗？

瑞星卡卡安全论坛