中毒！(again?)

電腦再次中毒,eeepc再度受害lol...把經過記錄下來作為memo

週末在用eeepc覺得有點遲緩,在想不知道哪裡有問題,先把系統整理一下作個備份再來處理
不過整理系統的時候發現,每次刪除目錄都會詢問某個系統檔案要刪除是否確定,開始不以為意,但是重複出現了幾次就覺得不是很對勁...
結果把整個HD一翻,所有的目錄都有這個檔案,一看就知道不太妙orz

所有的檔案日期都是12,13號...仔細回想,忽然想到12號有把測SSD速度的工具裝在記憶卡上面拿去某人的電腦作測試,一看時間也差不多吻合
看來答案差不多出來了:記憶卡拿去那台電腦跑→記憶卡中獎！→之後沒有察覺又拿去eeepc用→全系統中獎!
沒想到居然讓一個木馬在我電腦裡活了一週,真是毫無警覺心...要反省orz

查了一下google,這lpk.dll似乎是keylogger的木馬,中獎之後會把所有含有exe執行檔的目錄放一個lpk.dll,等到該執行檔啟動時作dll injection,所以搜尋到的lpk.dll如果那個目錄有程式在執行就會出現拒絕刪除,用unlocker可以看到那個dll被同一個目錄裡的執行程序咬住
就算沒有被咬住的dll,只要刪除之後又會自動重新生成,因為那個木馬已經把自己run成service常駐在系統裡,檔案是system32底下的ggmogq.exe和hra33.dll,進去registry把相關的service停掉之後,所有的lpk.dll就順利清除...
幸好這個木馬沒有修改執行檔本身,所以沒留下啥後遺症(應該吧

實際上這個木馬並不是什麼新的病毒,用目前大部分的防毒也抓的到

為什麼還會中獎,只能說:因為是eeepc...orz
不想即時掃毒拖慢速度+耗損SSD,所以這台eeepc經過多次中毒依然沒有把防毒打開lol
不過倒是有把日常使用的帳號權限降低了,只是中毒的檔案,用來測試SSD速度的工具要在admin權限下跑....所以還是orz

Trackback: http://blog.snow-sugar.net/trackback.php?tbID=985&extra=9e4e90
Tags: EeePC orz