在牛过看到的,又有检查了.

小于

紧急通知：12月10日起全国互联网协会配合文化部和公安部对国内各论坛进行整顿，为了配合上级主管部门的检查，同时确保广大会员顺利访问本站。请广大会员下载本站专用登录器进行登录。

XiaoChong

年关到了，又开始了。。 ：（

凌风

小心点

大梦小生

打雷了，下雨收衣服啊

softworm

在LJF看到的：

[分享] 牛过管理员帐号疑被盗,发生群发消息事件!!

论坛管理员账号可能被某些人利用，导致很多会员于2005-12-09 12:40 收到如下群发消息:

紧急通知：12月10日起全国互联网协会配合文化部和公安部对国内各论坛进行整顿，为了配合上级主管部门的检查，同时确保广大会员顺利访问本站。请广大会员下载本站专用登录器进行登录。

登录器下载地址：http://www.niuguo.net/attachment/Mon_0512/***.rar

下载

使用方法：下载登录器后进行解压，解压后点击DLQ，输入论坛的用户名和密码进行登录。如有问题请与管理员联系！


请大家高度警惕，此消息并非为本坛管理员所发，是某些破坏分子做的木马，会导致电脑出现一些问题，请大家立即将此消息删除以避免发生不必要的损失。

同时强烈谴责这些无聊之人所做的无聊之事。

已下载的朋友请参见此贴16楼方法解决

http://www.niuguo.net/read.php?fid=...364127&toread=1

晚上很多人都在讨论牛过论坛的群发消息事件了!!希望大家能留个心眼...好好保管好自己的密码!别被不法之徒利用了...
特别提醒牛过潜水的会员们...当你们登陆时...先看看此说明!!!!
动漫区记者宣...

处理方法（只针对这个变种），仅供参考！

这是灰鸽子的变种，要先删掉在注册表中的系统服务添加的东西，才能彻底清除掉

注册表中搜索“c:\windows\svchost.exe”（假设系统装在C盘），将找到的键值所在的整个项砍掉（最好先备份一下）
之后重启，立即打开检查是否还自动加载IEXPLORE.EXE进程并在8080端口监听（我用防火墙来看的），没有加载就OK了
最后将c:\windows\svchost.exe删除（这个是隐藏文件），DONE！

处理方法2

病毒文件会在\Windows 文件夹下生成一个 svchost.exe (正常的svchost.exe是在\Windows\System32里头)
这个文件会在你开机时自动运行，并呼叫 iexplorer.exe 进程，接着 8080 TCP端口会被开启成LISTENING ... 变成肉鸡的状态 -_-

所以呢，把\Windows文件夹里头的svchost.exe删除
然后使用Hijack This清除登录档中的机码

运行Hijack This，按下Do a system scan only
卷动页面到最下面，会看到有个机码里头带有\windows\svchost.exe字串
勾取那一行前面的方块，按下Fix checked，会询问是否删除该机码，按下Yes

重起机器，开始 -> 运行 -> cmd 回车 -> netstats -na |more 回车
看到TCP打头的那几行，如果没有看到 8080 端口是 LISTENING 状态，就表示清除了

小海2000

注意一下，小心为上

wowh

那个是假的...牛过管理员的帐号被盗了

原振侠

估计小于已经中招.:)

笑傲江湖

原帖由 原振侠 于 2005-12-14 17:59 发表
估计小于已经中招.:)

;19这会儿估计在杀木马呢。

xxcaptain

呵呵,年关到了,骗子多