(2007-03-03)
因為乙個spyware,浪費了我兩天時間才搞定。
其實是兩個……哦,不,是三個。不過在其中一台機器上的那個昨天已經被我乾掉了,但是在另一台機器上這兩個真是折騰s偶了。:(
還好最後總算都乾掉了。
這兩個spyware分別是:ssqpq.dll和tuvsqol.dll。
症狀是有幾個:
1、機器忽然不能從網路訪問,到機器上登入也失敗,報錯:
「系統無法讓您登入,因為發生下列錯誤:不支援網路請求。請重試一次,或詢問您的系統管理員!」
只能強行重啟,重啟以後可以暫時解決。
2、不能訪問機器的共享資源,包括系統預設的管理共享(共享名最後有$的),發生錯誤:
「發生系統錯誤 67,找不到網路名」
解決過程:
1、首先是用程序分析工具找到這兩個東東是被winlogon和explorer呼叫,所以無法乾掉。
2、再經過自動執行檢查工具分析以後發現,它們的執行方式是:
註冊成winlogon notify package(詳見csdn的這個帖子11樓), 這樣就可以在windows一啟動的時候執行,並且是以被winlogon呼叫的dll方式,這樣就無法在執行時把它乾掉,因為winlogon是系統進 程,不可停止。同時它還在時刻修改登錄檔裡的註冊項,所以即使改了登錄檔,它也會改回去,重啟以後它還是會出現。而且即使進入安全模式也不管用。
另外,它還註冊成bho,並且注入到explorer裡,實現雙保險。而且這個登錄檔專案它也是一直更新。
3、最後,根據檔案監控工具顯示,它還會不斷地檢查硬碟上的檔案,如果檔案被修改過,它還會再恢復回去。
這兩個spyware除了名字不同以外,其它特徵幾乎完全一樣(後來發現tuvsqol.dll比ssqpq更強一些)。
因為我的系統盤是ntfs格式的,不然我只要拿一張ubuntu live光碟啟動一下,把那兩個檔案刪除就搞定了,但是現在似乎除了重灌系統或裝乙個雙系統以外,沒有什麼辦法可以解決。
在網上找了n多資料,也沒有看到相關的解決辦法。比如參考這篇,用movefileex寫了一程式,但是似乎winlogon的執行在重啟刪除檔案之前,或者是spyware有反制手段,總之這個辦法無效。
在不得已的情況,我只好以毒攻毒,寫了乙個windows service,迴圈清除登錄檔中的相關專案,然後重啟伺服器。試了兩次之後,總算讓這兩個spyware不再執行。
然後把這兩個檔案的s/h/r屬性去掉再刪除,回頭仔細掃瞄了註冊,確定沒有殘留什麼東東,總算搞定。
另外,還發現乙個spoolvc.exe的服務,明顯也是乙個spyware,不知道前面那兩個蛋是不是它下的,總之禁用並刪除檔案是正解。
btw:雖然沒有熊貓圖示出現,但據之前在公司裡殺了半個月的熊貓燒香的同事說,貌似熊貓燒香的新變種。
你們專案中許可權是怎樣做的?
答案 這個主要是問後台的許可權是怎樣做的。首先分清楚系統中的崗位與角色關係 1.1 在專案中,我們可以將崗位看做角色,根據崗位來進行許可權的分配。但是在大公司這種方案就不適用了,崗位太多,所以我們將崗位提取出來,給具有共性的崗位賦予乙個角色,然後給角色分配許可權。1.2 許可權角色是系統功能全年設定...
我做專案這些年的經驗
1 中國充滿大量非常敬業但不夠職業的專案經理,不了解這一點,就做不好中國的專案。2 真正的原因往往都隱藏在表面的理由背後。3 做專案最高境界是和使用者形成長期共生雙贏關係。4 賣功能,賣利益,賣服務,賣價值,賣口碑,這是做專案的五個境界。5 大專案往往是從小專案建立信任開始的。6 做專案的公司夢想往...
你願意為你的女朋友做這些嗎
1.向新朋友介紹女友時,請摟著她的腰,而不是站在一旁用手指點。2.在街上遇見美女凝視時間不超過 秒。3.如果她做錯了事,你可以教訓她,但之後一定要記得哄哄她,因為她心裡已經很難過,請主動承擔起你應該甚至不應該承擔的責任吧。4.我不提倡男生要一味地聽女友的話,但你要記得,她永遠是 對你好的,就算有時有...