查看: 7697|回复: 265
上一主题 下一主题
收起左侧

[求助] [紧急求助]新型木马无法查杀也无法识别

  [复制链接]
VriK_v5
跳转到指定楼层
1
发表于 2017-10-8 12:36:41 | |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 VriK_v5 于 2017-10-8 13:09 编辑

借助这个平台发送一封求助信,

我是卡巴斯基2015和2017KIS安全部队全功能版三年多用户的付费用户,由于长期受到一个新型木马干扰,生活和工作受到极大影响,而卡巴斯基完全对此病毒无效,甚至完全无视。

自从4月份开始电脑、帐户和网络频繁发生异常,在通过不断排查之后,我发现我本地电脑中了病毒,并且这个木马是过去我所遇到过的病毒所前所未有的。大概在过去三个月内我尝试了几乎市面上所有的杀毒软件和专杀工具,其中包括,卡巴斯基2015 2017以及卡巴斯基各种专杀工具,诺顿、麦咖啡、小红伞、大蜘蛛、火绒最新版、金山毒霸2017,金山毒霸顽固木马专杀工具,金山毒霸暗云专杀工具,瑞星V17,瑞星防火墙,瑞星安全云、瑞星各种能够获得的专杀工具,以及费尔、腾讯电脑管家,均对此病毒完全无效。

通过长期观察,我另一台机(笔记本)从2016年11月份就没再使用,这台电脑也有木马,至少在16年10月之前就已经进入我的电脑,甚至更早,并且通过局域网传播导致三台电脑全部感染这种病毒。这个木马潜伏时间之长完全出乎意料,而且通过不断的重新作系统、修复MBR、重做MBR、擦除硬盘数据依然存在中毒现象(系统采用的是原版win7 win10 光盘镜像),并且远端控制者甚至时不时删除我本地文件、修改我本地系统属性、盗取我各种帐号。而且他的各种操作有时候是在诺顿封禁所有系统进程访问网络,windows防火墙几乎封禁了所有端口下实现的。我甚至关闭了系统的远程对本地硬盘的访问,他依然能够删除我本地硬盘的文件。

这是前几天删除我本地文件的一个备份对比图:



此外我还借助了工具软件察看系统可疑文件和进程,均未发现异常,甚至完全没有隐藏进程和可疑的非正规公司的进程。


只有通过后台这个程序能多少看得出一些端倪,所有向可疑外网地址播发的进程均为系统进程、其中svchost 播发量最大,有时则是一闪而过,开启一秒传输完数据,立即关闭。
这使得我不得不考虑以下两个方面:

1。这是个MBR病毒通过硬盘启动早于系统启动,直接进入内存,本地杀软根本无法查杀,甚至这个病毒可以干扰本地杀软的查杀。
2。这个病毒拥有正规公司的数字签名,否则不至于所有杀软均对此病毒视而不见。
3。这个病毒拥有暗云和鬼影的全部特征,重做系统也不能杀灭,并且在浏览器里访问百度网址,也会出现以pg结尾的id。


在最近一段时间里,远程阻止记录中赫然罗列着,中国国家互联网应急中心7月份公布的全国排名前十的挂马?IP : 171.112.96.240 截图如下:


在上上星期和上星期,都分别在加挂两个防火墙,并且我通过手动封闭所有windows防火墙不用的端口情况下,对方依然能够登陆我的电脑,并且删除我的个人文件,甚至卸载麦咖啡、网卡驱动、输入法应用软件。更加无法忍受的是,只要我联网两分钟之内,远端即登陆我的电脑,所有防火墙均无视这种非法登陆完全没有任何反应。

这已经超出了我身边所有人的杀毒常识。希望这里的有能力的朋友和同学能够帮帮忙。如能帮忙真是不胜感激!

这里提供一个让我同事感染这个病毒的染毒安@装@程@序。

下载地址:?
https://pan.baidu.com/s/1i4DgyWX

解压密码:321321
另外随附一个MBR文件看看对反病毒专家会不会有点用。还有一个刚刚查出来的病毒文件,很可疑,压缩名:117,解压密码也是:321321
PanzerVIIIMaus
2
发表于 2017-10-8 13:09:03 |
本帖最后由 PanzerVIIIMaus 于 2017-10-8 13:13 编辑

这个木马潜伏时间之长完全出乎意料,而且通过不断的重新作系统、修复MBR、重做MBR、擦除硬盘数据依然存在中毒现象(系统采用的是原版win7 win10 光盘镜像),并且远端控制者甚至时不时删除我本地文件、修改我本地系统属性、盗取我各种帐号。而且他的各种操作有时候是在诺顿封禁所有系统进程访问网络,windows防火墙几乎封禁了所有端口下实现的。我甚至关闭了系统的远程对本地硬盘的访问,他依然能够删除我本地硬盘的文件。

送上小白个人观点————以上清除方式……实际漏了一个常规感染点——主板BIOS,建议你重新刷BIOS甚至换BIOS芯片了事233当然也有个简单排除法,把硬盘拔掉插其它电脑上再格盘重做MBR,如果其它电脑没事的话可能估计就是主板的毛病而不是黑科技
VriK_v5
3
 楼主| 发表于 2017-10-8 13:13:40 |
PanzerVIIIMaus 发表于 2017-10-8 13:09
这个木马潜伏时间之长完全出乎意料,而且通过不断的重新作系统、修复MBR、重做MBR、擦除硬盘数据依然存在中 ...

刚才帖子死都发布上来。我这几台电脑都在别人的监视之下,另外论坛怎么有那么多敏感词 ?也不让发上去?有什么敏感词不能发?卡巴斯基售后完全置之不理,让我自己提取病毒样本,谁能做得到?从7月份联系卡巴到目前,一个人都没有联系过我!
VriK_v5
4
 楼主| 发表于 2017-10-8 13:14:40 |
PanzerVIIIMaus 发表于 2017-10-8 13:09
这个木马潜伏时间之长完全出乎意料,而且通过不断的重新作系统、修复MBR、重做MBR、擦除硬盘数据依然存在中 ...

BIOS已经彻底放电!根本没有用!换主板芯片根换主板有什么区别了?
PanzerVIIIMaus
5
发表于 2017-10-8 13:16:57 |
VriK_v5 发表于 2017-10-8 13:14
BIOS已经彻底放电!根本没有用!换主板芯片根换主板有什么区别了?

改写BIOS可不是放电就了事的,不然想刷新版本BIOS的玩家岂不是不能扣电池?这点常识都没有吗
PanzerVIIIMaus
6
发表于 2017-10-8 13:23:40 |
VriK_v5 发表于 2017-10-8 13:14
BIOS已经彻底放电!根本没有用!换主板芯片根换主板有什么区别了?

有可能被“改写”的地方就有可能被感染,BIOS也没什么例外的,最初造BIOS的时候就是一个“永久改写”过程啊,刷BIOS也是个“永久改写”过程啊,扣电池只是清除了易失性数据。
九河士道
7
发表于 2017-10-8 13:50:05 |
我记得360急救箱里好像有个修复mbr的功能 你可以试一下
VriK_v5
8
 楼主| 发表于 2017-10-8 13:52:43 |
九河士道 发表于 2017-10-8 13:50
我记得360急救箱里好像有个修复mbr的功能 你可以试一下

没有用!试过了,MBR病毒肯定会进入内存,就算能够恢复MBR也可以关机重写
PanzerVIIIMaus
9
发表于 2017-10-8 14:19:27 |
九河士道 发表于 2017-10-8 13:50
我记得360急救箱里好像有个修复mbr的功能 你可以试一下

他说重新做过了MBR,那么就可能是BIOS或者其它隐秘的一般只读区域被改写了,要么就可能是在水贴
ashuro
10
发表于 2017-10-8 14:59:03 |
本帖最后由 ashuro 于 2017-10-8 15:01 编辑

MBR的病毒简单的啊
修复期间一律不能让你的硬盘来引导系统!

用主板自带的功能刷BIOS,然后马上用干净的U盘WINPE起动,
把硬盘所有分区全部删除,或者把分区表转换为GPT分区保存,重启还是切回U盘的WINPE
如果新的主板,直接使用GPT分区表,万事安逸
如果是老的不认GPT分区,则再把分区表改回MBR,重分区,完事……


已经如此处理掉好多MBR系的病毒了……


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-10-23 14:09 , Processed in 0.049758 second(s), 6 queries , MemCached On.

快速回复 返回顶部 返回列表