[原创]本站首页被人种了毒！！

江西太极迷 · 发表于 2006-12-17 20:04:16

本站首页被人下了毒啊，我一进入该站首页就中了毒，而且不是一般的毒，较为难清理。疑报为灰鸽子木马。

首先它会在c:\windows\system32里生成的一个可执行文件，具体名字当时删除忘了记录了，是一个隐身的文件，同时在windows文件夹里暂时性地生成两个.dll文件，几个其他的文本文件。具体名字现在也记不太清，是什么winsyskey.dll什么的，在文件夹里找不到，但已存在内存中。同时好像还会在C:\Program Files\Common Files里生成1.exe,2.exe,3.exe等文件。如果你只删除c:\windows\system32里的那个可执行文件，它会自动生成，而你要删除那两个.dll文件，又找不到，重启开机一上网又来了。

我是这样杀毒的，先中断那个应用程序的进程，再删除它，然后直接断电，再开机，这时就可以在c:\windows\下找到两个隐身的.dll文件，杀了它，再看看C:\Program Files\Common Files有没有新的可执行文件。杀。

我现在不想再试，所以那些个文件名我没记下来。

我用的是木马克星，未注册版，所以只报木马，但不帮你杀，有时连什么名字都没说。但我上面所说的几个文件是它所出来的。我第一次，进入首页就报了，我不相信，删除了毒文件后，再刷首页又报了。所以说该站首页有人下了毒。我的金山毒霸2006套装（试用）没反映。

希望站长尽快解决。

[此贴子已经被作者于2006-12-17 20:07:41编辑过]

福建老农 · 发表于 2006-12-17 20:18:42

呵呵哪个页面我去看看

江西太极迷 · 发表于 2006-12-17 20:32:02

http://www.chenjiagou.net

福建老农 · 发表于 2006-12-17 20:49:10

谢谢我检查下

福建老农 · 发表于 2006-12-17 20:57:53

论坛很正常。应该是服务器空间提供商方面出错误。
今天星期天他们没上班，明天我打电话让换一个空间。

谈笑 · 发表于 2006-12-17 21:03:14

我的杀毒软件是“诺盾9.0（企业版）”，从来没有发现过这种情况。

经过检查，本站首页代码里也没有恶意程序和脚本。

江西太极迷 · 发表于 2006-12-17 22:16:32

论坛正常，只是http://www.chenjiagou.net首页有木马脚本。

为了证明我是对的，为了给广大网友带来更多的网络安全，我只有以身再试了,现在，我把所有会生成的文件都找出来了，21 ：45刷的，21：45生成了下列文件。
c:\boot.exe
C:\Program Files\Common Files\1.exe
C:\Program Files\Common Files\2.exe
C:\Program Files\Common Files\3.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysInfo.dll
C:\WINDOWS\SYSTEMKEY.log
C:\WINDOWS\systemkey.dll
C:\WINDOWS\system32\wiudiyts.dll
C:\WINDOWS\system32\psapi.lib
C:\WINDOWS\system32\algestese.exe

C:\WINDOWS\SYSTEMKEY.DLL，这个文件会真正隐形，在该处你找不到它，只存在内存中，会感染注入内存中的大部分系统程序，包括输入法以衣你正在运行的杀毒程序，会关闭木马克星。
c:\windows\systemkey.dll 怀疑为灰鸽子木马55
c:\windows\system.dll
c:\windows\system.exe

望站长认真检查，我的系统是2003 server版的，我用的是金山毒霸2006组合装（没用，不报，大概是因为我没开工资给这位门卫吧），还有木马克星（虽然也没开工资，但还是比较尽职，谢谢罗建斌先生），补丁也只有sp1,sp1a没打了。中你木马没商量。

[此贴子已经被作者于2006-12-17 22:21:45编辑过]

福建老农 · 发表于 2006-12-17 22:47:44

谢谢江西太极迷君，晚上我就逐个文件仔细检查一番。
论坛没什么问题，请正常使用。

江西太极迷 · 发表于 2006-12-18 12:41:51

是不是杀了？我单位的电脑进入首页没有出现中毒现象。

幻影闪客 · 发表于 2006-12-19 09:15:25

关注。