我的系统是Windows XP SP3,已更新最新补丁。
PC 连接到 Cisco 877 ADSL 路由器,该路由器将内部网络的 NAT 转换为其单个静态公共 IP 地址。没有转发端口,只能从内部访问路由器的管理控制台。
我做了两件事:通过 VPN 在远程办公机器上工作,以及浏览思科网站上的一些网页。
远程网络绝对安全(它是一个实验室网络,有四个虚拟服务器,没有可公开访问的服务,也没有任何用户;而且,我将要描述的任何事情都没有发生在那里)。
思科网站......嗯,我想也相当安全。
突然,发生了一些事情。
到处都会出现奇怪的弹出窗口;声称自己是“反恶意软件”、“反间谍软件”等的程序开始自动安装;系统托盘中弹出虚假的 Windows 更新和安全中心图标。svchost.exe 开始反复崩溃。然后,终于,几分钟后……BSOD。
并且,重启后,再次出现 BSOD。即使在安全模式下也是如此。
好吧,那显然是某种病毒/木马/什么的。我不得不在另一个分区上安装新的 Windows 副本来清理一切。我几乎在任何地方都发现了奇怪的可执行文件、服务和 DLL。除其他外,user32.dll 和 ndis.sys 已被替换。安装了一个名为“Antimalware Doctor”的假软件。有些服务的名称完全随机,甚至有 GUID(!),还有名为“IpSect”和“Darkness”的服务。有些可执行文件没有 .exe 扩展名。甚至还有两个引导类驱动程序,我很确定它们最终导致系统崩溃。
一场真正的大屠杀。
好的,现在的问题是:
- 那到底是什么?!?更多不仅仅是一个简单的病毒!
- 它是如何攻击我的计算机的,因为我有防火墙保护,而且当时我并没有在网络上进行任何可能造成危害的操作?
答案1
这听起来很像我最近遇到的 XP Antispyware 问题,这是一种基于 Java 的漏洞,它会关闭你的防火墙和防病毒软件,声称检测到数百种病毒感染,在任务栏中添加假的安全中心图标,并阻止启动 .exe 程序,这样你就无法运行反恶意软件。
有一个解决方法,但你必须知道自己在做什么 - 这并不明显 - 并在注册表上运行一个小脚本来杀死 .exe 阻止程序,否则它会不断回来。然后你必须摆脱浏览器中的不良 Java 插件。
阅读全文请访问:http://lifehacker.com/5499124/how-to-remove-xp-antispyware。这对我来说是救命稻草。我对病毒等非常小心,到目前为止还算幸运,但这个病毒在我意识到发生了什么之前就已经进入了机器。我仍然不知道我在哪里感染了它。
答案2
看起来像是“Neprodoor”:http://www.prevx.com/blog/115/Neprodoor-flies-beyond-the-radar.html
我设法清理几乎一切都通过在另一个磁盘上安装新的 Windows 来完成...但那头野兽确实安装了十系统上的恶意软件,并且我的 Windows 更新仍然中断(像hosts重定向,但 hosts 文件是空的)并且一些广告网站不时弹出。
我最终格式化并重新安装... 再也无法信任系统了。哦,好吧,是时候迁移到 Windows 7 了 :-)
但我还是不知道它是怎么进来的......?!?