昨天也就是3月29日凌晨,正在做梦和一个美女XXX正爽的时候突然接到顾客的电话说启动游戏没多久就会出错,我让他重启电脑下,他说重启过了。我让他再重启电脑然后远程过去查看,发现有几个不名进程,不到10秒,他开的QQ和TGP包括万象收费软件都提示出错,我感到事情严重赶紧起床跑步前往网吧。

到了后我先开一台电脑接着打开QQ和TGP,果断和刚才一样出错,如下图:

3.png

打开任务管理器发现有个inst27.exe的进程,把错误框关闭后,又弹出qq.exe we.exe txqq.exe,并出现假体窗口,如下图:

4.jpg

5.png

我又重启电脑什么都不开,发现inst27.exe不会出来,打开QQ后也不出来,一旦登陆QQ后就出来了。于是我切换到有维护大师的还原点,用进程树查看,如下图:

6.jpg

不知道是不是维护大师启动太慢还是我没安装好,进程树显示不完整,不知道是谁产生wscript.exe,我打开pchunter查看万象的进程和explorer.exe都没有多余的DLL

于是我按底下的步骤测试:

1,把还原点切换到纯净状态测试,正常,这就排除了网吧服务器被侵入的可能。

2,切换到没有收费软件的状态,正常。

3,切换到顾客使用的状态,但删除了万象启动,正常。

4,在第3点的情况下启动万象,问题出现。

5,在解锁状态下也不会出现病毒进程。

这就说明了可能是收费软件带来的,我重启电脑开启PM,重复操作后发现就是万象的进程释放的:

7.jpg
1.png
2.png
8.png

其实我很想查出万象为什么会释放这些东西,但技术方面我十分欠缺,只好先用安全软件禁止万象进程释放一切.exe来解决。

后来经群里的朋友提醒下查询此进程连接的外网IP,我通过PM查询到,如下图:

9.jpg

我不知道为什么收费软件会释放这样的病毒出来,听技术说只有两种可能,一是万象故意释放病毒,二是万象广告漏洞被攻击造成的(后来证实是IE浏览器漏洞和Flash漏洞),虽然万象很可恶很恶心很变态,但作为大公司应该不会故意释放病毒,所以第二种可能性更大,反过来说如果你万象不释放广告我们也就没这方面的风险了。

查了一晚上也不查到根源只好采用两种方式先拦截:一是用安全软件拦截万象进程,禁止创建任何.exe,二是路由器里封上面的域名。

工具下载: Process Monitor.exe