一直以为我自己的机器不可能中木马,不过当昨天确认机器中标的时候,胸中的郁闷可想而知。在此记录查杀整个过程。
最初发现问题是发现网卡总是会发送数据包,即使把所有的程序都退出,依然会有。于是使用TCPVIEW去查看,发现有3个SVCHOST.EXE的进程一直在尝试链接一个远端的IP地址的8080,8888两个端口,使用防火墙禁止向这个IP的所有进出通信以后,则在WINDOWS TASK MANAGER里面发现有数个IPCONFIG.EXE的进程生成。
用PROCESS EXPLORER去检查,整个机器相应都异常的缓慢,当PROCESS EXPLORER最终打开的时候,IPCONFIG.EXE也是基于SVCHOST.EXE进程。
此时拿卡巴查毒和安全卫士360查杀都没有发现异常。
在网上查了很久,也没有任何进展。
再次查看TCPVIEW,发现有不少请求是AVP.EXE也就是卡巴自己的主程序生成的。难道这个卡巴有问题,卸载发现问题依旧。(不过这个卡巴对这个木马一点都没有反应,也该清除出系统了,太FUCK!)
这个时候看到网上有人抓木马的方法,也尝试了一下。
打开PROCESS EXPLORER,确认发送IP请求的进程SVCHOST.EXE,展开起属性,发现在FILE项里,有一个NetOLE.exe 的进程,不过确认下来发现也没问题,这是一个系统的进程。
就是一筹莫展的时候,打开安全卫士360,发现有个新功能“木马云查杀”,运行了以后,发现了一个可疑".ovevhv.dll",两个未知"ntmssvc_ox.dll”,“zrabcp.dll”,再次回头看PROCESS EXPLORER,发现"ntmssvc_ox.dll”,“zrabcp.dll”都有在SVCHOST.EXE下面,只是非常隐蔽。看样子问题就出在这几个DLL上面。
找到C:\windows\system32下面,找到这几个文件,更让人后怕的是,在这几个文件旁边,还有2个.key文件,用文本编辑器打开,发现里面竟然全部是我们的聊天记录,还有一些网站登陆的账号、密码、访问记录等等。相当于这个木马有进行键盘截取以及聊天记录窃取。
进入安全模式,将文件删除,重启再用TCPVIEW查看,世界终于安静了。
重新装上MCAFEE,原来用它从来就没有出过问题,这个卡巴在一位友人的推荐下安装的,没想到如此不堪,太让我失望。再次鄙视卡巴!
使用工具:
PROCESSOR EXPLOER
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
TCPVIEW
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
PROCESSOR MONITOR
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
安全卫士
http://www.360.cn/
