作者skycat2216 (skycat2216)
看板AntiVirus
標題Re: [求救] 電腦出現 mail.ru 的惡意軟體
時間Wed Aug 14 12:19:38 2019
※ 引述 《henryowo (420error)》 之銘言:
:
: 1. 敘述問題:
:
: 前陣子不知道為什麼電腦裡突然多了幾個俄文的惡意軟體
: 有照著網路上的方法去稍作處理了
: 但似乎並沒有清得很乾淨 問題如標題所說
: 在某些特定的軟體或是網站 會無法完整顯示 甚至完全連不上
看起來像是DNS污染,先把DNS設定改掉後用手機分享網路(不過開發者模式要關掉,不然手
機有可能也會中毒)
: 並且所有瀏覽器都被綁首頁+強制安裝惡意軟體的小工具
: 將小工具的名字拿去餵狗後 是顯示來自俄國的mail.ru
我去網上找了一下資料,目前能確認的是這隻Mail.Ru(我的天,戰鬥民族這麼直白的嗎?)
會寫入登錄檔中的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVision
這三個登錄機碼下
用Regedit把RUN裡面的東西先刪掉(不過這麼做的話有很多東西就不能開機自啟,必須手動
調整)
還要記得用上方工具列的尋找功能尋找Mail.ru
解決以後還要用檔案總管找Mail.ru
詳細教程可以看
https://youtu.be/p0RmotNmVpu
: 小工具名稱如下圖
: https://imgur.com/usrtjRm.jpg
: 目前導致的狀況
: 1、我有兩個瀏覽器火狐+Chrome FB都無法正常顯示 如圖
: https://imgur.com/hNDlmQw.jpg
: 2、巴哈、mobile01 網站內的按鈕有些無法點(點不下去)
具體是那些?
: 3、google登入畫面 帳密打好後 按登入無反應(點不下去) 按enter也無反應
勇士,我敬你一杯,記得用手機改密碼
: 4、夜神、BS模擬器裡的FB 永遠顯示 非預期的錯誤發生 導致無法登入 (帳密都對) 如圖
首先,我要再敬你一杯。
這個應該是DNS污染(我不確定,詳細我會去資安版問)
: https://imgur.com/aNUraKs.jpg
: 5、同4,Google帳戶登入時顯示無法連線 (帳密都對) 如圖
: https://imgur.com/Fwf1AAl.jpg
: 6、同4,Google Play商店 顯示無法連線
: (事實上有連上網路 遊戲都可以玩 LINE可以正常使用)
: 7、使用火狐登入01 不管怎樣都會顯示 操作太快了(???) 但Chrome不會 如圖
: https://imgur.com/SdHKggP.jpg
: 8、很多網站的一些按鈕、小圖示 會顯示不出來 或按不下去
: 9、如果還有想到再補充
:
: 目前嘗試過將瀏覽器重置或重新下載 但並沒有什麼效果
:
: 2. 系統資料:
: WIN7 64bit
: 無防毒軟體(公司電腦)
公司電腦?直接叫你們IT處理,沒有就跟老闆講然後自己重灌
:
: 3. 分析報告:
: 由於中了此惡意軟體後
: 大部分網頁幾乎都無法完整顯示
: 像上面FB那張圖一樣
: 或是跑很慢 一直轉圈圈 最後顯示 找不到伺服器
: 所以目前還沒嘗試
:
: Mobile01同步發文
你真的很勇(確信)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.137.90.131 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1565756380.A.917.html
1F:推 henryowo: 大大指的勇者 是指帳密/個資可能遭竊取還是我違規了嗎QQ 08/14 13:02
2F:→ henryowo: DNS污染的部分我再來研究看看 不是很懂電腦XD 08/14 13:04
3F:→ henryowo: 登錄檔的部分我之前有爬文過 也刪過一輪了 但大大的影片 08/14 13:04
4F:→ henryowo: 打不開 08/14 13:04
5F:→ henryowo: 網頁按鈕 像是推噓、回覆鍵 等等 會變成亂碼圖且無反應 08/14 13:06
6F:→ henryowo: 而帳密的部分 打錯會顯示密碼錯誤 打對的話就會出現我所 08/14 13:07
7F:→ henryowo: 說的問題 08/14 13:07
8F:→ henryowo: 我們是小公司 老闆沒在管電腦的 所以都是我們自己處理QQ 08/14 13:08
9F:→ henryowo: 我也試過點開置底文的各種非免費試用/免費防毒連結 08/14 13:09
10F:→ henryowo: 但9成5都轉圈圈->找不到伺服器 08/14 13:10
11F:→ henryowo: 但PTT就完全沒事 可以正常瀏覽 不知道為什麼XD 08/14 13:11
12F:→ chang0206: 我認為你很有可能已經有資料外洩... 08/14 14:09
13F:→ chang0206: 重灌吧 手機也重置 然後改密碼 08/14 14:10
14F:→ chang0206: ptt正常是因為戰鬥民族不知道ptt啊 XD 08/14 14:10
16F:→ henryowo: 新增一下 我開FB時左下角跳的網址 這樣是不是不正常? 08/14 14:27
17F:推 henryowo: 不過這情況已經持續一個多月了 目前是還沒有被盜的情形 08/14 14:30
18F:→ wakana0916: 真的不考慮重灌嗎?總覺得這系統已經一團糟了 08/14 14:47
19F:推 chang0206: 就還沒開始玩你而已 重灌吧 08/14 14:52
20F:推 henryowo: 因為某些原因不能重灌 QQ 不然我也想直接重灌 08/14 14:53
21F:推 chang0206: 找一台確認乾淨的電腦把那台的hosts檔案複製到你這台 08/14 15:02
22F:→ chang0206: 應該暫時可以解決你開網頁的問題 但這不是解法... 08/14 15:03
23F:→ chang0206: 喔,還有DNS設定要檢查看看 08/14 15:03
24F:推 henryowo: 真的只有重灌一途了嗎><另外DNS設定要怎麼檢查呢 08/14 15:06
25F:推 henryowo: DNS只要改成台灣常用的伺服器就好了嗎 08/14 15:10
26F:推 chang0206: 168.95.1.1 1.1.1.1 8.8.8.8 101.101.101.101 都可以用 08/14 15:15
27F:推 henryowo: 了解 感謝c大 DNS的部分已經設定完成 08/14 15:17
28F:→ skycat2216: 為什麼不能重灌? 08/14 15:28
29F:推 henryowo: 這有點難解釋 因為公司電腦使用的軟體 廠商已經倒閉 08/14 15:32
30F:→ henryowo: 再加上當初廠商來灌軟體時有設定很多東西才安裝上去 08/14 15:33
31F:→ henryowo: 但這部分不是我的專業 也不太懂要怎麼運作 08/14 15:33
32F:→ henryowo: 一旦重灌軟體就回不來了 公司也沒有想處理的意思 08/14 15:34
33F:→ henryowo: 所以是有點複雜啦 所以才很猶豫要不要拿出來說XD 08/14 15:34
34F:→ henryowo: 另外c大說的hosts檔 已經照微軟的方法重置 08/14 15:36
35F:→ henryowo: 目前電腦的網頁都恢復正常 模擬器的商店、Google帳戶都 08/14 15:37
36F:→ henryowo: 可以正常運作了 但唯獨FB還是一樣 08/14 15:37
37F:→ henryowo: 是指模擬器內的FB 仍顯示發生非預期的錯誤 08/14 15:38
38F:→ henryowo: 這樣網頁正常後我先來試試掃毒的部分 不知道會不會有效 08/14 15:39
39F:→ skycat2216: ... 08/14 17:00
40F:→ skycat2216: 換軟體真的費用真的很貴 08/14 17:00
41F:推 deepstriker: 這台電腦既然不能重灌 你清理到可以用之後最好不要 08/14 17:26
42F:→ deepstriker: 拿來做一些風險比較大的用途 08/14 17:27
43F:→ deepstriker: 風險比較大的事項 在另一台可以重灌的電腦用 08/14 17:28
45F:→ wakana0916: 考慮下把這台電腦虛擬化吧,感覺起來是有些歷史的電 08/14 23:08
46F:→ wakana0916: 腦了,要是硬體掛掉會更頭疼 08/14 23:08
47F:推 henryowo: 感謝各位大大的協助!!目前可上網後已將置底文推薦的防毒 08/15 10:18
48F:→ henryowo: 都下載來掃一輪了 有蠻多都掃出mail.ru的東西並清除了 08/15 10:19
49F:→ henryowo: 然後再用adwcleaner掃一遍 目前應該是OK了 會再觀察看看 08/15 10:21
50F:→ henryowo: 關於上面大大建議的虛擬化跟做低風險用途 08/15 10:23
51F:→ henryowo: 小弟我會再評估的!非常感謝各位的幫忙!! 08/15 10:24
52F:推 chang0206: 需要P2V 請撥打底下這隻專線 ... XD 08/15 14:40
53F:推 maltose09: 咱公司電腦也有些軟體的公司倒閉,瘋狂的ghost起來... 08/18 21:04
54F:推 chang0206: 樓上 建議還要買些當時的電腦硬體做備份.. 08/19 09:24