作者skycat2216 (skycat2216)
看板AntiVirus
标题Re: [求救] 电脑出现 mail.ru 的恶意软体
时间Wed Aug 14 12:19:38 2019
※ 引述 《henryowo (420error)》 之铭言:
:
: 1. 叙述问题:
:
: 前阵子不知道为什麽电脑里突然多了几个俄文的恶意软体
: 有照着网路上的方法去稍作处理了
: 但似乎并没有清得很乾净 问题如标题所说
: 在某些特定的软体或是网站 会无法完整显示 甚至完全连不上
看起来像是DNS污染,先把DNS设定改掉後用手机分享网路(不过开发者模式要关掉,不然手
机有可能也会中毒)
: 并且所有浏览器都被绑首页+强制安装恶意软体的小工具
: 将小工具的名字拿去喂狗後 是显示来自俄国的mail.ru
我去网上找了一下资料,目前能确认的是这只Mail.Ru(我的天,战斗民族这麽直白的吗?)
会写入登录档中的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVision
这三个登录机码下
用Regedit把RUN里面的东西先删掉(不过这麽做的话有很多东西就不能开机自启,必须手动
调整)
还要记得用上方工具列的寻找功能寻找Mail.ru
解决以後还要用档案总管找Mail.ru
详细教程可以看
https://youtu.be/p0RmotNmVpu
: 小工具名称如下图
: https://imgur.com/usrtjRm.jpg
: 目前导致的状况
: 1、我有两个浏览器火狐+Chrome FB都无法正常显示 如图
: https://imgur.com/hNDlmQw.jpg
: 2、巴哈、mobile01 网站内的按钮有些无法点(点不下去)
具体是那些?
: 3、google登入画面 帐密打好後 按登入无反应(点不下去) 按enter也无反应
勇士,我敬你一杯,记得用手机改密码
: 4、夜神、BS模拟器里的FB 永远显示 非预期的错误发生 导致无法登入 (帐密都对) 如图
首先,我要再敬你一杯。
这个应该是DNS污染(我不确定,详细我会去资安版问)
: https://imgur.com/aNUraKs.jpg
: 5、同4,Google帐户登入时显示无法连线 (帐密都对) 如图
: https://imgur.com/Fwf1AAl.jpg
: 6、同4,Google Play商店 显示无法连线
: (事实上有连上网路 游戏都可以玩 LINE可以正常使用)
: 7、使用火狐登入01 不管怎样都会显示 操作太快了(???) 但Chrome不会 如图
: https://imgur.com/SdHKggP.jpg
: 8、很多网站的一些按钮、小图示 会显示不出来 或按不下去
: 9、如果还有想到再补充
:
: 目前尝试过将浏览器重置或重新下载 但并没有什麽效果
:
: 2. 系统资料:
: WIN7 64bit
: 无防毒软体(公司电脑)
公司电脑?直接叫你们IT处理,没有就跟老板讲然後自己重灌
:
: 3. 分析报告:
: 由於中了此恶意软体後
: 大部分网页几乎都无法完整显示
: 像上面FB那张图一样
: 或是跑很慢 一直转圈圈 最後显示 找不到伺服器
: 所以目前还没尝试
:
: Mobile01同步发文
你真的很勇(确信)
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.137.90.131 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1565756380.A.917.html
1F:推 henryowo: 大大指的勇者 是指帐密/个资可能遭窃取还是我违规了吗QQ 08/14 13:02
2F:→ henryowo: DNS污染的部分我再来研究看看 不是很懂电脑XD 08/14 13:04
3F:→ henryowo: 登录档的部分我之前有爬文过 也删过一轮了 但大大的影片 08/14 13:04
4F:→ henryowo: 打不开 08/14 13:04
5F:→ henryowo: 网页按钮 像是推嘘、回覆键 等等 会变成乱码图且无反应 08/14 13:06
6F:→ henryowo: 而帐密的部分 打错会显示密码错误 打对的话就会出现我所 08/14 13:07
7F:→ henryowo: 说的问题 08/14 13:07
8F:→ henryowo: 我们是小公司 老板没在管电脑的 所以都是我们自己处理QQ 08/14 13:08
9F:→ henryowo: 我也试过点开置底文的各种非免费试用/免费防毒连结 08/14 13:09
10F:→ henryowo: 但9成5都转圈圈->找不到伺服器 08/14 13:10
11F:→ henryowo: 但PTT就完全没事 可以正常浏览 不知道为什麽XD 08/14 13:11
12F:→ chang0206: 我认为你很有可能已经有资料外泄... 08/14 14:09
13F:→ chang0206: 重灌吧 手机也重置 然後改密码 08/14 14:10
14F:→ chang0206: ptt正常是因为战斗民族不知道ptt啊 XD 08/14 14:10
16F:→ henryowo: 新增一下 我开FB时左下角跳的网址 这样是不是不正常? 08/14 14:27
17F:推 henryowo: 不过这情况已经持续一个多月了 目前是还没有被盗的情形 08/14 14:30
18F:→ wakana0916: 真的不考虑重灌吗?总觉得这系统已经一团糟了 08/14 14:47
19F:推 chang0206: 就还没开始玩你而已 重灌吧 08/14 14:52
20F:推 henryowo: 因为某些原因不能重灌 QQ 不然我也想直接重灌 08/14 14:53
21F:推 chang0206: 找一台确认乾净的电脑把那台的hosts档案复制到你这台 08/14 15:02
22F:→ chang0206: 应该暂时可以解决你开网页的问题 但这不是解法... 08/14 15:03
23F:→ chang0206: 喔,还有DNS设定要检查看看 08/14 15:03
24F:推 henryowo: 真的只有重灌一途了吗><另外DNS设定要怎麽检查呢 08/14 15:06
25F:推 henryowo: DNS只要改成台湾常用的伺服器就好了吗 08/14 15:10
26F:推 chang0206: 168.95.1.1 1.1.1.1 8.8.8.8 101.101.101.101 都可以用 08/14 15:15
27F:推 henryowo: 了解 感谢c大 DNS的部分已经设定完成 08/14 15:17
28F:→ skycat2216: 为什麽不能重灌? 08/14 15:28
29F:推 henryowo: 这有点难解释 因为公司电脑使用的软体 厂商已经倒闭 08/14 15:32
30F:→ henryowo: 再加上当初厂商来灌软体时有设定很多东西才安装上去 08/14 15:33
31F:→ henryowo: 但这部分不是我的专业 也不太懂要怎麽运作 08/14 15:33
32F:→ henryowo: 一旦重灌软体就回不来了 公司也没有想处理的意思 08/14 15:34
33F:→ henryowo: 所以是有点复杂啦 所以才很犹豫要不要拿出来说XD 08/14 15:34
34F:→ henryowo: 另外c大说的hosts档 已经照微软的方法重置 08/14 15:36
35F:→ henryowo: 目前电脑的网页都恢复正常 模拟器的商店、Google帐户都 08/14 15:37
36F:→ henryowo: 可以正常运作了 但唯独FB还是一样 08/14 15:37
37F:→ henryowo: 是指模拟器内的FB 仍显示发生非预期的错误 08/14 15:38
38F:→ henryowo: 这样网页正常後我先来试试扫毒的部分 不知道会不会有效 08/14 15:39
39F:→ skycat2216: ... 08/14 17:00
40F:→ skycat2216: 换软体真的费用真的很贵 08/14 17:00
41F:推 deepstriker: 这台电脑既然不能重灌 你清理到可以用之後最好不要 08/14 17:26
42F:→ deepstriker: 拿来做一些风险比较大的用途 08/14 17:27
43F:→ deepstriker: 风险比较大的事项 在另一台可以重灌的电脑用 08/14 17:28
45F:→ wakana0916: 考虑下把这台电脑虚拟化吧,感觉起来是有些历史的电 08/14 23:08
46F:→ wakana0916: 脑了,要是硬体挂掉会更头疼 08/14 23:08
47F:推 henryowo: 感谢各位大大的协助!!目前可上网後已将置底文推荐的防毒 08/15 10:18
48F:→ henryowo: 都下载来扫一轮了 有蛮多都扫出mail.ru的东西并清除了 08/15 10:19
49F:→ henryowo: 然後再用adwcleaner扫一遍 目前应该是OK了 会再观察看看 08/15 10:21
50F:→ henryowo: 关於上面大大建议的虚拟化跟做低风险用途 08/15 10:23
51F:→ henryowo: 小弟我会再评估的!非常感谢各位的帮忙!! 08/15 10:24
52F:推 chang0206: 需要P2V 请拨打底下这只专线 ... XD 08/15 14:40
53F:推 maltose09: 咱公司电脑也有些软体的公司倒闭,疯狂的ghost起来... 08/18 21:04
54F:推 chang0206: 楼上 建议还要买些当时的电脑硬体做备份.. 08/19 09:24