正在加载...

更新,刚发现Google提供对流氓网站的封锁支持,非常感动!

23:57更新 – 终于完全搞定,我果然老了,花了一天时间搞这个……好在没有重装系统。

说说与这次中毒具体相关的情况吧(流水帐形式):

  1. U盘是万恶之源:我昨天使用朋友的U盘时,提示了一个Windows内部错误之类的东西(具体记不清楚了,但我记得对话框的标题是”No Disk”),然后系统中产生了N多奇怪进程,如:IEXPL0RER.EXE(模仿IE的进程,把字母”O”换成阿拉伯数字零”0″)
  2. 我第一反应是,重启进入安全模式。结果关机剧慢,几乎花了半个小时才关机
  3. 开机进入安全模式,一切似乎正常,查msconfig启动项,删除(我都是在DOS下用copy con直接覆盖病毒文件删除的,我以为这样就Okay了)嫌疑文件,删除启动进程,再次重新启动
  4. 重启后看似无事,准备打开Apache干正事了。刚输入”net start apache2″,提示一个服务器不应答的错误(Error 1053, The server did not respond….)。进入KISS(Kiwi Internet Server Suite)目录,连uninstall都无效。
  5. 与此同时,系统进程中注入大量的exe文件进程,各种稀奇古怪的名字,一看就知道有问题。我现在记不起来了,去查我的搜索记录,大概是ippro.exe、upxdnd.exe、Kvsc3.exe、mppds.exe、temp1.exe、temp2.exe……这样的名字。同时发现许多同名的DLL文件。
  6. 进入安全模式查杀,重启,文件依然存在……
  7. 一个上午过去了,毫无进展
  8. 考虑重装系统,发现一来我的WinXPEnSP2的ISO落在家里了,而公司也正好没有可以刻录的光盘……
  9. 只能上Google、上百度,搜索……其实我这时已经基本绝望了。毕竟我在Windows系统内部方面懂得太少,现在的流氓软件,招式太狠:(
  10. 偶然启动了Apache一次。非常奇怪。但是这一次的启动让我找到了问题的突破口,且听我慢慢道来。
  11. 我在本机调试服务器,有一个Server叫做localhost2,我启动Apache成功,但进入这个URL却提示错误。仔细检查了HTTPD和VHOST设置,发现都没有任何问题。
  12. 目标锁定:HOST文件
  13. 打开HOST文件,天哪……面目全非了。把几十个域名指向到我的127.0.0.1,而localhost本身没有改变(看来我不用”localhost”调试是明智的-。-)
  14. 思考:为什么病毒要把host改掉呢?我甚至曾经写过一篇日志通过改host来避免一时无法删除的流氓网站的劫持。这个病毒为什么要把这一堆网址屏蔽呢。换个角度思考,这一些网址之中必然有”制服”病毒的资源!
  15. Okay,继续搜索,这次用的是百度,还行。(看来Google爬中文页面的速度还是稍微满一点儿)
  16. 找到一个”费尔木马强力清除助手“(官方下载地址在http://www.filseclab.com),发现提供这个软件的网站就在host列表中。(对知道host的人来说,这一招确实没啥用,但是对于不懂host的普通网友,这一招可真直爽:直接让你无法下载相关的杀毒软件……)
  17. 用这个清除助手”点杀”病毒。重启了两次,终于搞定了。这个”费尔木马强力清除助手“的杀毒能力确实厉害。
  18. 欢呼之前,发现Apache和MySQL彻底挂掉:(
  19. 服务无法卸载,也无法运行,折腾了N久。
  20. 百般无奈下,重新下载了一份KISS(其实我没有报什么希望)。惊讶地发现新KISS包中httpd.exe文件是21k,而我的KISS是32k,这说明httpd.exe被改了……(寒,病毒改这个干吗……)
  21. 备份php.ini、httpd.conf、httpd-vhost.conf重新覆盖KISS,反安装(uninstall)Apache和MySQL服务。再安装之。
  22. 世界清净了!

中毒总结:

  • 不要用IE,不要用IE……默念,念成一种怨念-。-
  • 不要用陌生的U盘,不要用陌生的U盘……默念,念成另一种怨念……
  • 不要轻视对手,正因为破坏是一件容易的事情,所以牛逼的破坏效果也是容易达到的
  • 不要畏惧,要有新年干掉它:注册表、msconfig、Defender、HiJackThis+今天我用了还不错的”费尔木马强力清除助手
  • 关于”费尔木马强力清除助手“,虽然厉害,不过也要慎用,我今天误杀了一些自己的exe……而且在木马文件比较多的情况下,是个体力活。(http://www.filseclab.com/buycenter/sourcecode.htm这里还在出售源代码,寒)
  • 这个社会总有流氓,自己的心态最重要。

这次”中毒”,损失不小。加上我的感冒病情加重(周末加两天半,周日嗑药提神去UCDChina沙龙学习知识~),导致我这一周第一天上班几乎就干了一件事情:杀毒+恢复系统(没有重装)。唉,幸亏公司的兄弟们水平提升的快,在新产品的初期开发上,分担了我很多的压力。这让我更加肯定我们这个团队的产品开发实力了。

以下为我周一早上的牢骚日志原文:

我曾引以为荣的”无木马、无病毒”历史,终于还是结束了。
只用Firefox、不上不可靠网站还远远不够。U盘、移动硬盘……凡是所有可能与外界发生数据交换的可能性都有潜在危险。更别提那些没有人维护的局域网环境了:几乎每一台电脑都被感染了N种病毒。
进入安全模式这种小伎俩对于现代病毒毫无意义。Windows强大的功能和接口以及脆弱的网络环境为病毒的设计者提供了极大的便利。病毒的进程和物理文件似乎永远也删除不尽。
记得原来的DOS时代,有什么scan、KV、Kill几乎就能保证”百毒不侵”了。
Spam和Virus屡杀不止,难道应该放弃的不只是IE,而是Windows了么?

还没找到您要的东西?Google试试看吧,
Google更注重原创、时效性好的文章:


本文相关评论: 才 34 条评论
  1. qq 2007-05-21 03:19:12

    用DOS吧,有什么scan、KV、Kill几乎就能保证”百毒不侵”了。:)

  2. Nicky 2007-05-21 03:55:18

    欢迎试用 Ubuntu…

    • 木木 2008-08-09 07:24:15

      别天真了,中毒了也不知道,这个.

  3. fisio 2007-05-21 04:04:56

    很奇怪我的机器从来没被病毒骚扰过,英文xpsp2无补丁裸奔,挂一个卡巴斯基保持更新,就这样了……

  4. xiaov 2007-05-21 04:15:15

    任何事情不能太完美了!不现实,太完美人太累

  5. 小义 2007-05-21 04:24:41

    每一次重装都让我感到新生的快乐~ 我最近一直憋着想重装,可是系统总是没什么问题让我很没理由……

  6. 盛传 2007-05-21 05:26:49

    我的经验是只要有个自动更新的杀毒软件,然后不要点可疑的网址,就基本上安全了。不过局域网环境就复杂了。

  7. remaerd 2007-05-21 05:47:17

    用苹果啦。弄个虚拟win在苹果。想用就用,想删就删

  8. 123 2007-05-21 06:40:23

    只用Firefox、不上不可靠网站,我一直这样做

  9. aw 2007-05-21 06:48:33

    Ubuntu去年就已经用了。但是还是不太习惯啊……

  10. Kenshin 2007-05-21 08:36:34

    哈哈,我一直打算重装系统,但是无奈环境太复杂,真的懒得在重装了,本来本子在最开始的时候玩wb的玻璃效果根本没有什么问题,但是自从上次机器中毒后机器的速度是原来越慢,但是我一直在坚持。。。结果坚持了快半年了,现在wb不能开,把windows的系统系能调到了最佳性能才能跑的欢畅。希望这个项目结束后,我能想开点。。哈哈。另外系统用了快2年了,也挺不容易的,毕竟有感情了嘛。。

  11. include 2007-05-21 09:13:47

    用了两年的系统?你也够强悍的了!

  12. Jaxic 2007-05-21 10:59:15

    感觉你有点过了….. 真的用了2年么?那这样的话就太厉害了….试问一下2年前FF长什么样的?

    我电脑也是裸蹦….开始也喜欢用FF 但是不顶事… 不杀不知道 一杀毒就一堆…后来换了Ubentu感觉好了.

    没病毒侵害 beryl+XGL界面也华丽…但是photoshop没得用了…简直是 要命

    unix核心的MAC OS就很好 没什么毒而且漂亮 也有photoshop可以用.. 但是我这PC是SATA硬盘..装了用不了

    无缘呀…只好老老实实用我的 温到死 ….. 有时候很多东西都不是东西本身决定的 就好比QQ…是朋友在决定你..

    就好比Palm …..本身是优秀的 但是在中国针对性的软件太少…

  13. aw 2007-05-21 11:15:20

    jaxic,include …… 我说过“2年”么……我记得后来编辑过一次这个日志,但是只是加了内容啊。
    如果是我误删除了“2年”云云,可能是当时激动了……(今天一整天耗系统上了)
    其实这台公司的电脑只用了1年:)我当时的意思因该是我使用的系统时间(但并没有特指是同一台电脑的)。
    至于FF,http://www.awflasher.com/blog/archives/438 – 这个是我的blog上找到的最早的一篇关于FF的日志,2006年2月的。根据日志推算,我用Firefox也应该是有1年多了。
    关于Linux,有一个说法是因为用户少,所以病毒、流氓软件也少。另一个说法则是Linux是开放的,所有的东西都是为人所知的,那么漏洞自然也能公诸于众(漏洞公诸于众也就是漏洞的解决方案公诸于众)
    我不知道这一点大家怎么看的。由于我对Linux内核一无所知,所以不了解。

  14. Jaxic 2007-05-22 12:19:25

    aw, …… 我是看到include说我才说的…….表怪我….

    看到你的更新….我估计你是因为系统漏洞被[script kid]给入侵了…..不是病毒…病毒改你hpptd高么?

    我有个朋友就喜欢入侵网站….挂GG AD…汗啊….现在下来他已经挂了上千个….. 就是用别人写的[HACK工具]…没什么技术含量….

    Linux就是多人用估计漏洞和病毒也不会比windows多. open source的威力…有漏洞N+N个人及时上来给你补…

    而且…没有几个人能研究透彻linux内核…也就是那些无聊的小kid不会有什么机会攻击了…

    当然…也不一定…应为树大招风…. 现在谁也说不好….貌似现在MAC用的人多了 漏洞也多了。..

    我的知识有限…暂时聊到这里…说到着 我很佩服你们这些搞技术的人…交个朋友…嘿嘿

  15. Cat Chen 2007-05-22 12:32:36

    Kevin Mitnick说,安全中最颇弱的环节不是技术而是人本身,呵呵……设计恰当的骗局,无论你用的软件有多安全都可能诱骗你执行不安全的代码。

  16. aw 2007-05-22 11:38:32

    挂GGAD?那也只能挂到服务器上啊,要不然挂了有啥意义。而且GGAD的防作弊体系肯定会越来越严格的,这一点我是相信的。

  17. DC 2007-05-22 08:01:59

    ubuntu…
    我打算将开发平台整体迁移过去.

  18. DC 2007-05-22 08:03:14

    我这台也快半年了,杀毒软件都没开过
    还跑得得很好呢

  19. aw 2007-05-22 08:27:14

    整体迁移-。- 别吓我。
    DW和PS这些东西就算可以“虚拟”,效率也不一定高。此外,没有IE的话,产品也不敢轻易release,虽然我感性上支持你,但理性上,WebDev,尤其是前端开发,在IE下还是有好处的。毕竟90%的用户都是IEer,没办法:(

  20. vsky 2007-05-22 08:37:49

    如果是纯编码工作,linux确实是不错的选择,但事实上很多工作上的软件linux上用不了,没有办法啊。还是老老实实 做个GHOST镜像吧 -_-!

  21. Vic 2007-05-22 10:43:50

    关闭自动运行就可以了 再安装卡巴,开主动防御,再强的病毒也进不来

  22. 混蛋70 2007-05-22 11:12:48

    ye,太有成就感了

  23. 月舞茗香 2007-05-24 09:03:13

    这就是高手么?我的电脑才装了一个月,就中病毒了,而我的诺顿一点都不好使。

  24. LuoboTixS 2007-05-25 05:41:00

    replace:
    msconfig——jv16 Powertools/Tune up ultilities
    注册表——Registry WorkShop
    Defender——Nod32
    HiJackThis——IceSword/360safe
    费尔木马强力清除助手——AVG Antispyware
    以及System Safety Monitor——用来监控分析任何程序对系统核心的任何操作
    又见有人裸奔,又见有人崇拜两年不倒的Windows……
    为什么要迁移到Linux?虽然说Windows是Binary……..不能直接编译,程序运行机制也不尽人意……..但是难道就一定会出岔子?
    好吧我的却是考虑去装个Debian学习学习^_^
    0day exploit隔三差五打打补丁……拿着扫描器到处找肉鸡的二代一点也不可怕…
    无论如何,养成良好的安全习惯是决定性因素
    用IE也不一定不安全,不用IE也不一定安全
    AW认为呢?
    httpd.exe被改估计是因为它是PE程序,被病毒瞄准了…
    应该是最近比较流行的Autorun.inf的问题,估计AW不太注意系统安全性- –

  25. aw 2007-05-25 05:46:48

    我发现一个很大的问题是,httpd.exe只是我众多被‘修改’的exe文件中的一员~

  26. LuoboTixS 2007-05-25 06:00:41

    -____________________________-
    – -不是EXE都被感染了?………
    看上去还是个比较温和的家伙=。=
    sigh……
    BTW,为什么一直感觉这里的配色不太舒服呢…..

  27. 帕瓦罗蒂 2007-08-14 07:35:55

    呵呵,我用的软件比较多:卡巴斯基互联网安全套装+AVG反木马+360安全卫士+comodo防火墙+opera浏览器,当然我的机器配置高,内存就1G,嘿嘿,这样就非常安全了。注意:要要把其他软件添加到卡巴的信任区域里!!!

    • Ubuntu Going。。。 2008-05-25 08:45:04

      KIS可以和AVG一起用吗?
      另外“卡巴斯基互联网安全套装+AVG反木马+360安全卫士+comodo防火墙”实在是。。。
      1G真的够吗?

    • NULL 2013-11-12 12:15:09

      中度杀软综合征。。

  28. MasaMaso 2009-03-16 05:50:28

    写得很详细,我收藏了

  29. mygill.com 2011-04-30 08:53:26

    ubuntu个人觉得比较适合玩票性质。不适合我!

  30. 木棉花 2011-06-17 10:08:05

    目前还是用免费的金山···

  31. 澳门代言人 2012-05-12 02:22:43

    不适合我的 我还是用金山

[支持Ctrl+Enter]为了我们大家和家人的安全,留言请慎重!
声明:
1、本站仅与见过面的个人博客交换链接,见此文
2、留言时的头像是Gravatar提供的服务。如果您有兴趣并且有闲暇时间,可以看看这里的介绍