一直以为我自己的机器不可能中木马,不过当昨天确认机器中标的时候,胸中的郁闷可想而知。在此记录查杀整个过程。
最初发现问题是发现网卡总是会发送数据包,即使把所有的程序都退出,依然会有。于是使用TCPVIEW去查看,发现有3个SVCHOST.EXE的进程一直在尝试链接一个远端的IP地址的8080,8888两个端口,使用防火墙禁止向这个IP的所有进出通信以后,则在WINDOWS TASK MANAGER里面发现有数个IPCONFIG.EXE的进程生成。
用PROCESS EXPLORER去检查,整个机器相应都异常的缓慢,当PROCESS EXPLORER最终打开的时候,IPCONFIG.EXE也是基于SVCHOST.EXE进程。
此时拿卡巴查毒和安全卫士360查杀都没有发现异常。
在网上查了很久,也没有任何进展。
再次查看TCPVIEW,发现有不少请求是AVP.EXE也就是卡巴自己的主程序生成的。难道这个卡巴有问题,卸载发现问题依旧。(不过这个卡巴对这个木马一点都没有反应,也该清除出系统了,太FUCK!)
这个时候看到网上有人抓木马的方法,也尝试了一下。
打开PROCESS EXPLORER,确认发送IP请求的进程SVCHOST.EXE,展开起属性,发现在FILE项里,有一个NetOLE.exe 的进程,不过确认下来发现也没问题,这是一个系统的进程。
就是一筹莫展的时候,打开安全卫士360,发现有个新功能“木马云查杀”,运行了以后,发现了一个可疑".ovevhv.dll",两个未知"ntmssvc_ox.dll”,“zrabcp.dll”,再次回头看PROCESS EXPLORER,发现"ntmssvc_ox.dll”,“zrabcp.dll”都有在SVCHOST.EXE下面,只是非常隐蔽。看样子问题就出在这几个DLL上面。
找到C:\windows\system32下面,找到这几个文件,更让人后怕的是,在这几个文件旁边,还有2个.key文件,用文本编辑器打开,发现里面竟然全部是我们的聊天记录,还有一些网站登陆的账号、密码、访问记录等等。相当于这个木马有进行键盘截取以及聊天记录窃取。
进入安全模式,将文件删除,重启再用TCPVIEW查看,世界终于安静了。
重新装上MCAFEE,原来用它从来就没有出过问题,这个卡巴在一位友人的推荐下安装的,没想到如此不堪,太让我失望。再次鄙视卡巴!
使用工具:
PROCESSOR EXPLOER
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
TCPVIEW
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
PROCESSOR MONITOR
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
安全卫士
http://www.360.cn/
2007/09/21
反思
最近发现自己做事情都有个毛病,起个大早,赶个晚集!
最好好几件事情,一开始都考虑的很好,很早就开始准备,可是总是到跟前才匆匆忙忙的收尾,搞得事情般的一团糟!就拿给GF弄PSP上的电影来说吧,只从她说出去OUTING想带上PSP看电影后,我就给他做了各种考虑,下载各种不同类型的电影,下下来的还拿JERRY的电脑转换,搞得不亦乐乎。不过到了她真的准备要出发的前一天,才发现,移动硬盘上、PSP上还没有放好东西,更搞的是,结果因为担心下雨,晚上没有带电脑回来,只能一大早给她赶紧导!
哎,只能说做事情计划订的挺好,执行力太差了。老爸曾经也说过我,做事情总是喜欢‘卡着点做,容易出错的’,真是一点没错,以后一定得注意这方面了,毕竟这些还是小事情,要是以后真遇到点什么事情,这样拖拖拉拉的那还不搞大了!
在此自我反省一把!
最好好几件事情,一开始都考虑的很好,很早就开始准备,可是总是到跟前才匆匆忙忙的收尾,搞得事情般的一团糟!就拿给GF弄PSP上的电影来说吧,只从她说出去OUTING想带上PSP看电影后,我就给他做了各种考虑,下载各种不同类型的电影,下下来的还拿JERRY的电脑转换,搞得不亦乐乎。不过到了她真的准备要出发的前一天,才发现,移动硬盘上、PSP上还没有放好东西,更搞的是,结果因为担心下雨,晚上没有带电脑回来,只能一大早给她赶紧导!
哎,只能说做事情计划订的挺好,执行力太差了。老爸曾经也说过我,做事情总是喜欢‘卡着点做,容易出错的’,真是一点没错,以后一定得注意这方面了,毕竟这些还是小事情,要是以后真遇到点什么事情,这样拖拖拉拉的那还不搞大了!
在此自我反省一把!
2007/09/20
UNIQLOCK
发现一个很不错的网站,本来想把它放到Live Space上面,不过发现Live Space对javascript支持不好,结果没有弄成功,想想还是放到Blogger上面来试试看.
这个音乐舞蹈时钟很特别的,有音乐, 还有漂亮女生跳舞, 每一个小时后特别的舞蹈还会出现! 我的直接应用到侧边栏上!
可以直接访问http://www.uniqlo.jp/uniqlock/申请。
2007/07/07
前段时间公司搞了不少系统,基本还算成功,现在他们开发组开始更多进行版本的更新和日常的维护工作。不过老席最近又提出新的要求,要求搭建一套社内的搜索引擎,要求最好是C/S模式,服务器端统一进行搜索,用户只需要通过浏览器就能够把设内公开出来的各种文档、web站点的内容都搜索出来。同时还要求是免费的产品,要求能支持主流的各种文档和页面。
这个要求真是要命啊,如果都能满足的话,我估计Google公司就不用混了。不过没办法啊,花了一个月中的很多时间去找寻这个软件,由于需要免费的,所以基本是在开源软件方面寻找,其间试用了一些觉得可能合适的产品,如:nutch , Zilverline ,Red-Piranha ,phpdig,不过最终的结果都不是很理想,要么是对双字节支持不好(即对中、日、韩等字体支持不好),要么是页面抓取后由于编码问题出现乱码,没有一款产品不说完全,及时是比较好的功能都没有。
不过无意中最近发现了一款IBM出品的产品IBM OmniFind Yahoo! Edition,是IBM公司发布的一款免费的企业内网的搜索工具,而且从其官方网站看来,他会不断进行更新。于是下载下来进行试用。安装十分简便,只需要有JAVA JDK 1.5即可。安装完成后即可以通过WEB页面进行设定,指定需要的web站点或者internat地址,就可以进行搜索了。搜索的效果还是令人满意的,他对双字节和编码都有很好的支持。
但是经过几天的试用,发现这款才产品在设计之初就没有对网页内容进行全文检索的功能,这点真是遗憾啊。不过换个角度想,如果他要是支持的话,这款产品我估计也不会是免费的,^_^
只能先这样了,目前来说这款产品是最好的。如果要正式使用的话可能还需要其他的搜索引擎做配合,不过总比完全没有强吧!
这个要求真是要命啊,如果都能满足的话,我估计Google公司就不用混了。不过没办法啊,花了一个月中的很多时间去找寻这个软件,由于需要免费的,所以基本是在开源软件方面寻找,其间试用了一些觉得可能合适的产品,如:nutch , Zilverline ,Red-Piranha ,phpdig,不过最终的结果都不是很理想,要么是对双字节支持不好(即对中、日、韩等字体支持不好),要么是页面抓取后由于编码问题出现乱码,没有一款产品不说完全,及时是比较好的功能都没有。
不过无意中最近发现了一款IBM出品的产品IBM OmniFind Yahoo! Edition,是IBM公司发布的一款免费的企业内网的搜索工具,而且从其官方网站看来,他会不断进行更新。于是下载下来进行试用。安装十分简便,只需要有JAVA JDK 1.5即可。安装完成后即可以通过WEB页面进行设定,指定需要的web站点或者internat地址,就可以进行搜索了。搜索的效果还是令人满意的,他对双字节和编码都有很好的支持。
但是经过几天的试用,发现这款才产品在设计之初就没有对网页内容进行全文检索的功能,这点真是遗憾啊。不过换个角度想,如果他要是支持的话,这款产品我估计也不会是免费的,^_^
只能先这样了,目前来说这款产品是最好的。如果要正式使用的话可能还需要其他的搜索引擎做配合,不过总比完全没有强吧!
2007/06/15
小结2
之前的小结已经过去了2个月,可后续的跟进却一直没做。人啊,现在的惰性还是很大,乘着今天突然睡意不是那么浓的时候更新一下吧!
上次小结中没有解决的几个问题:
1、mantis,其实数据库不是说不可以迁移,但我希望能改为utf-8的字符集,所以当时其实已经完成了操作,但由于个人配置上没有把语言改为utf-8相关项,导致页面出来的数据是乱码。当然后来是发现了这个问题,并解决掉。
但由于php5在对双字节的字在图片中的设定上与php4有所不同(php5会默认的把系统字符用utf-8来转换),导致图片中的字会是乱码。我重新编译了好几次都没有什么改观,最好还是更改了系统程序(对此处图片的转换都指定成我们对应的)。最终完成了mantis的迁移。
2、PHPBB,在上次之后,测试用phpBB3 beta5来进行了迁移测试,结果比我想像的要好的多,所有的文档,记录,配置信息都得到了保留。但由于在官网上了解到,phpBB3的后续版本将不支持beta版,所以等待了一段时间,在RC1版发布后,进行了一次迁移测试。同样,效果比较令人满意。
现在公司内的论坛又活跃了起来,我还是很有满足感滴!
3、MediaWIKI,目前发现基本不可能迁移到新的服务器上,由于其版本对php和mysql都有对应的限制,所以这个迁移基本无法完成。
现在只是把其ftp进行了迁移。由于导出的数据在编码格式上的不同,导致页面的信息也不尽相同,我用了一种比较笨的方法就是通过手工的方式,把每条链接的记录更新到新的地址上,虽然比较笨一点,但效果还行!
差不多现在社内的系统,除了考勤、MediaWIKI之外,其他的系统都已经完成了迁移的工作,感觉还是很让人欣慰的。
不过前段时间把这些搞完后,人挺飘的,在这里提醒一下自己,忙完了可以休息、调整一下,千万不能放松自己,未来的路还很长,不能因为一点小的成绩就沾沾自喜!切记切记!
上次小结中没有解决的几个问题:
1、mantis,其实数据库不是说不可以迁移,但我希望能改为utf-8的字符集,所以当时其实已经完成了操作,但由于个人配置上没有把语言改为utf-8相关项,导致页面出来的数据是乱码。当然后来是发现了这个问题,并解决掉。
但由于php5在对双字节的字在图片中的设定上与php4有所不同(php5会默认的把系统字符用utf-8来转换),导致图片中的字会是乱码。我重新编译了好几次都没有什么改观,最好还是更改了系统程序(对此处图片的转换都指定成我们对应的)。最终完成了mantis的迁移。
2、PHPBB,在上次之后,测试用phpBB3 beta5来进行了迁移测试,结果比我想像的要好的多,所有的文档,记录,配置信息都得到了保留。但由于在官网上了解到,phpBB3的后续版本将不支持beta版,所以等待了一段时间,在RC1版发布后,进行了一次迁移测试。同样,效果比较令人满意。
现在公司内的论坛又活跃了起来,我还是很有满足感滴!
3、MediaWIKI,目前发现基本不可能迁移到新的服务器上,由于其版本对php和mysql都有对应的限制,所以这个迁移基本无法完成。
现在只是把其ftp进行了迁移。由于导出的数据在编码格式上的不同,导致页面的信息也不尽相同,我用了一种比较笨的方法就是通过手工的方式,把每条链接的记录更新到新的地址上,虽然比较笨一点,但效果还行!
差不多现在社内的系统,除了考勤、MediaWIKI之外,其他的系统都已经完成了迁移的工作,感觉还是很让人欣慰的。
不过前段时间把这些搞完后,人挺飘的,在这里提醒一下自己,忙完了可以休息、调整一下,千万不能放松自己,未来的路还很长,不能因为一点小的成绩就沾沾自喜!切记切记!
订阅:
博文 (Atom)
