My Opera木马删除记
Wednesday, January 11, 2006 4:55:14 PM
家里的Norton过期有好几个多月了,也就是说我的电脑有快一年半没有重新安装过操作系统了。Norton总是跳出来提示我,也一直没有当回事,昨天到pack.google.com上打算升级一些essential software,发现可以使用6个月Norton特别版赫然在列,心想正好一块升级了。
在google pack updater 下载得过程中一边陪老妈在google maps上寻找老家的小村庄,一边顺手删除了一些不用的软件,一不小心把已经过期的Norton也给卸了。后来一想不成,在新的norton没有下载安装完之前岂不是电脑失去了病毒防护能力,所以迅速到网上下载了一个金山毒霸7天试用版。启动后告诉我系统有很多漏洞,都是诸如guest帐号没有禁止之类的,感觉对毒霸不是特别放心,又到网上下载了一个AVG,但是安装的时候发现需要license,在网站上申请未果,只能到crack.am之类的地方去找破解!!这真是铤而走险的做法啊!!
应该是在获得avg的注册码之前我就中招了,系统开始极度不正常,提示程序运行错误,虚拟内存不足等等。
当所有的软件都安装完毕之后(avg安装未果),用毒霸, norton, ad-aware 轮番查杀,搞定了大部分的病毒和木马。但是最终金山网镖还是总提示有程序向外发信,发信的程序是ccApp.exe, 即norton的监控程序。一旦开启norton的信件查毒,就会发现系统每隔几分钟就会大批量的向外发信。这时无论再用各种查毒工具在windows的各种模式下也查不出病毒来了。
无奈,打开ethereal查看网络traffic情况,发现系统首先会连接某个网站的80端口,POST一些数据到/cgi-bin/result.pl,然后取回几个链接,然后在这几个链接里面取得邮件地址和信件内容以及发信规则等,然后根据这些内容群发信件。
这样看来,只要找到这个使用网络的应用程序或者模块就可以了。可是怎么找呢?依靠网镖是不可能的了,干脆把毒霸系列全部卸载了。靠windows自带的工具,别说找到使用网络的进程了,连进程号,父进程号都不好获得。想到了windows xp安装盘上的tools目录,是包含很多实用工具的,类似linux下很多工具,不过一方面安装盘手头没有,另外也不知道哪个工具能实现这个功能,干脆放弃。
然后想到使用norton的防火墙来监测是哪个应用使用了网络,寻找防火墙软件光盘未果。
然后问海波在windows下有没有什么进程管理的软件,他推荐了一个叫做process3.3.7的软件,从华军软件下载安装后发现其实这个工具也是非常的弱的,没有提供什么有用的信息,同时还未经我同意擅自安装了一个什么在线电视的咚咚,强烈鄙视之。
眼见着ethereal大批大批的数据包在滚过,心里着急。看到xjb上线骚扰我,赶紧把问题丢过去,他把我重定向到了newsmth.org的virus版,有一篇治理木马的专贴--如何使用hijackthis软件。
原来还有hijackthis这样的软件,赶紧下载一个装上。简单一试,果然发现了三个.dll文件被winlogon.exe动态加载,并且这几个文件都被放置在c:\windows\system32\下设置成隐含,并且使用rootkit使得不能随意删除,生成时间比较吻合,文件信息也非常可疑,即无签名也无版本信息等。赶紧用hijackthis软件清除,但是系统重起后仍然存在。
进入安全模式,显示系统和隐含文件,使用killbox软件强行删除这几个文件,未果。号称能随意删除文件的killbox看来也不好使,改用hijackthis自带的删除工具,就是把这几个文件作标记,然后系统重起的时候删除。成功!
重起系统,再次杀毒,查找系统漏洞和木马,顺利通过,ethereal除了能截获windows update和google updater以及norton liveupdate的网络连接数据外,再没有其他的疑似数据了。系统恢复了正常,折腾了基本上一天。
总结一下,这期间最郁闷的是你明明知道有人在你的机器上干坏事,怎么干的都知道,就是不知道是谁干得。当时我是多么希望在windows下能有象lsof一样的工具。
在google pack updater 下载得过程中一边陪老妈在google maps上寻找老家的小村庄,一边顺手删除了一些不用的软件,一不小心把已经过期的Norton也给卸了。后来一想不成,在新的norton没有下载安装完之前岂不是电脑失去了病毒防护能力,所以迅速到网上下载了一个金山毒霸7天试用版。启动后告诉我系统有很多漏洞,都是诸如guest帐号没有禁止之类的,感觉对毒霸不是特别放心,又到网上下载了一个AVG,但是安装的时候发现需要license,在网站上申请未果,只能到crack.am之类的地方去找破解!!这真是铤而走险的做法啊!!
应该是在获得avg的注册码之前我就中招了,系统开始极度不正常,提示程序运行错误,虚拟内存不足等等。
当所有的软件都安装完毕之后(avg安装未果),用毒霸, norton, ad-aware 轮番查杀,搞定了大部分的病毒和木马。但是最终金山网镖还是总提示有程序向外发信,发信的程序是ccApp.exe, 即norton的监控程序。一旦开启norton的信件查毒,就会发现系统每隔几分钟就会大批量的向外发信。这时无论再用各种查毒工具在windows的各种模式下也查不出病毒来了。
无奈,打开ethereal查看网络traffic情况,发现系统首先会连接某个网站的80端口,POST一些数据到/cgi-bin/result.pl,然后取回几个链接,然后在这几个链接里面取得邮件地址和信件内容以及发信规则等,然后根据这些内容群发信件。
这样看来,只要找到这个使用网络的应用程序或者模块就可以了。可是怎么找呢?依靠网镖是不可能的了,干脆把毒霸系列全部卸载了。靠windows自带的工具,别说找到使用网络的进程了,连进程号,父进程号都不好获得。想到了windows xp安装盘上的tools目录,是包含很多实用工具的,类似linux下很多工具,不过一方面安装盘手头没有,另外也不知道哪个工具能实现这个功能,干脆放弃。
然后想到使用norton的防火墙来监测是哪个应用使用了网络,寻找防火墙软件光盘未果。
然后问海波在windows下有没有什么进程管理的软件,他推荐了一个叫做process3.3.7的软件,从华军软件下载安装后发现其实这个工具也是非常的弱的,没有提供什么有用的信息,同时还未经我同意擅自安装了一个什么在线电视的咚咚,强烈鄙视之。
眼见着ethereal大批大批的数据包在滚过,心里着急。看到xjb上线骚扰我,赶紧把问题丢过去,他把我重定向到了newsmth.org的virus版,有一篇治理木马的专贴--如何使用hijackthis软件。
原来还有hijackthis这样的软件,赶紧下载一个装上。简单一试,果然发现了三个.dll文件被winlogon.exe动态加载,并且这几个文件都被放置在c:\windows\system32\下设置成隐含,并且使用rootkit使得不能随意删除,生成时间比较吻合,文件信息也非常可疑,即无签名也无版本信息等。赶紧用hijackthis软件清除,但是系统重起后仍然存在。
进入安全模式,显示系统和隐含文件,使用killbox软件强行删除这几个文件,未果。号称能随意删除文件的killbox看来也不好使,改用hijackthis自带的删除工具,就是把这几个文件作标记,然后系统重起的时候删除。成功!
重起系统,再次杀毒,查找系统漏洞和木马,顺利通过,ethereal除了能截获windows update和google updater以及norton liveupdate的网络连接数据外,再没有其他的疑似数据了。系统恢复了正常,折腾了基本上一天。
总结一下,这期间最郁闷的是你明明知道有人在你的机器上干坏事,怎么干的都知道,就是不知道是谁干得。当时我是多么希望在windows下能有象lsof一样的工具。
jieer # Thursday, January 12, 2006 2:37:28 AM