V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
f1277135471
V2EX  ›  问与答

生平第一次被 QQ 盗号,求教如何手工查杀木马?

  •  
  •   f1277135471 · 2014-08-21 19:11:10 +08:00 · 5107 次点击
    这是一个创建于 3724 天前的主题,其中的信息可能已经有所发展或是发生改变。
    因为忍受不了功能不完全运行不流畅输入速度慢的手机QQ和WebQQ,于是前天晚上一时兴起刚装上了PC版的QQ,然后昨天中午就被盗号了,接着盗号者用我的号在QQ空间发黄图被腾讯封号了


    在此之前只在自己的手机上和自家电脑的浏览器上登陆过QQ...,我想大约是中木马了...

    系统是Win7 X64,以前用的是XP,后来改成Ubuntu+Win7双系统后基本以Ubuntu为主,偶尔有需要才用Win7,NTFS分区上很多文件从两三年前起就没碰过...

    虽然最近Win7用得多点,但还是完全没有头绪,不知从何找起...

    (或者有不用木马就能盗别人QQ号的办法?我没听说过,有的话求介绍方法,以及如何防范......


    网上搜了一下查杀木马的办法基本都是很古老的教程(文中称Win XP为新版系统),求教处理办法,求推工具或是杀毒软件,谢谢









    话说我在搜索为何会被盗号的时候,碰巧看到了一个专门讨论如何盗别人QQ号和以及交流盗号经验的论坛,稍微了解了一下,似乎是该论坛的管理员去盗别人的QQ号,论坛网友刷积分,通过积分向管理员索要帐号密码,然后通过恶意申诉之类的办法抢夺QQ号,管理员通过论坛广告牟利。

    请问这种行为是否违反法律?如是的话那应该向什么部门举报?
    38 条回复    2014-08-22 20:22:45 +08:00
    zjgood
        1
    zjgood  
       2014-08-21 19:27:32 +08:00 via Android
    很多见不得光的东西已然成为了产业。举报?吃顿饭就化解了。难啊难。
    用osx保平安吧。
    f1277135471
        2
    f1277135471  
    OP
       2014-08-21 19:28:28 +08:00
    @zjgood 有钱的话我也想换OS X啊(ry
    zjgood
        3
    zjgood  
       2014-08-21 19:31:13 +08:00 via Android
    @f1277135471 苹果不是只有白的,你可以先试试黑苹果。。。。然后慢慢过渡到白的
    f1277135471
        4
    f1277135471  
    OP
       2014-08-21 19:39:36 +08:00
    @zjgood 黑苹果不稳定吧,我觉得要换OS X的话就该直接上白的了(再说我现在这低配AMD平台也上不了黑苹果......
    kmvan
        5
    kmvan  
       2014-08-21 19:41:42 +08:00 via Android
    楼主说的“该论坛的管理员去盗别人的QQ号,论坛网友刷积分,通过积分向管理员索要帐号密码”我有点不懂,管理员是怎么盗号的?没木马戓监控也能?
    faceair
        6
    faceair  
       2014-08-21 19:43:47 +08:00
    sandtears
        7
    sandtears  
       2014-08-21 19:44:12 +08:00
    1. 干嘛要手动查杀,杀毒软件不比手动强?

    2. 不用病毒就盗号的方法有很多,比如钓鱼、投诉等等。

    3. 盗 QQ 号是违法的,06 年有过一次判决,今后的判决可以援引这次的先例。

    4. 我也是很好奇,在 v2 ,为什么不管电脑出了什么问题都会有人说换 OS X 。12 年苹果自己的宣传标语中都去掉了 “不会感染 PC 病毒” 的字样,怎么还有这么多人笃信 OS X 无病毒?
    f1277135471
        8
    f1277135471  
    OP
       2014-08-21 19:44:35 +08:00
    @kmvan 不知道,没看见他们提到管理员是如何盗号的...
    zjgood
        10
    zjgood  
       2014-08-21 20:07:45 +08:00 via Android
    @sandtears 没有笃信,直接中奖率相对较低。
    liwei1
        11
    liwei1  
       2014-08-21 20:19:27 +08:00
    手机装QQ安全中心,支持锁定,快捷改密
    hellov22ex
        12
    hellov22ex  
       2014-08-21 20:21:52 +08:00
    @sandtears 第四个,只要不瞎晃悠,linux的安全性还是很可靠的
    pimin
        13
    pimin  
       2014-08-21 21:07:34 +08:00 via iPhone
    1.空间发图不一定是被盗,有可能是本地脚本;
    2.手工查杀木马思路:
    1)查找启动项:
    大致范围:注册表、服务、启动目录、计划任务。
    2)可疑进程排查:
    需要对系统、常规进程有一定熟悉

    找到恶意程序之后,如何删除就比较简单了。

    关于win安全性,我觉得不去乱七八糟的下载站下软件,基本上不会有啥问题。
    f1277135471
        14
    f1277135471  
    OP
       2014-08-21 22:03:10 +08:00
    @faceair 谢谢,文章好长...我去看看。
    f1277135471
        15
    f1277135471  
    OP
       2014-08-21 22:24:01 +08:00
    @sandtears

    1)求推荐靠谱的杀毒软件(目前正在用小红伞...

    2)感觉这两个可能性不大,还有没有什么其他的途径?

    3)那么,请问我应该向什么部门举报?

    4)可能是针对OS X的病毒相对比较少吧...
    momo5269
        16
    momo5269  
       2014-08-21 22:41:41 +08:00
    告诉你一堆工具好了 = =

    ARK:PowerTool / PCHunter

    FIX:Norton Power Eraser、360系统急救箱、金山顽固木马专杀工具

    SCAN:EmsisoftEmergencyKit、McAfeeSecurityscan、Kaspersky Virus Removal Tool、Dr.Web CureIt!、CCE、PandaCloudCleaner、Microsoft Support Emergency Response Tool

    我的处理方案是:


    A 直接安装杀毒软件
    Aavast! Avira AVG CIS NIS NOD32 360TS
    进行关键位置查杀后,根据需求开启全盘扫描
    (Comodo可以只安防火墙配合前面的杀毒软件)

    B 不安装杀毒软件,半手工实用工具的思路:

    1)
    1.1)准备好上文的ARK、FIX和SCAN中的2-3个(推荐CCE/Dr.Web CureIt!/EmsisoftEmergencyKit)
    1.2)使用ARK,检查进程和启动项。(如不了解,请下一步)

    2)
    2.1)360系统急救箱→修复系统文件→勾选强力模式和进程管制→开始急救。
    2.2)顽固木马专杀工具扫描,检查出问题后重启再扫一次重启。还有请转入3.1。
    2.3)Norton Power Eraser扫描并处理风险项目

    3)如果以上工具无法处理,欲进行全盘扫描
    3.1)打开Dr.Web CureIt!,启动扫描
    3.2)如需指定位置扫描 推荐三个都可以 效率上CCE>DWC>EEK
    3.3)手工确认处理项目,结束

    附注:
    1--360的往往会把你的一些个人设置给清掉……
    2--金山那工具报毒数量看上去多不要紧,某个版本后他把风险项目也叫病毒了,so
    这货是用来确认风险等级的,如果遇到项目≥10,建议进行指定位置扫描。
    3--如果当前系统环境风险较高,推荐使用各安全厂商提供的杀毒Live,卡饭的杀毒PE亦可。


    附录2:工具地址,其实其余的都很好找

    PowerTool http://about.me/ithurricanept
    NPE https://security.symantec.com/nbrt/npe.aspx?ssdcat=221&lcid=2052&origin=unk&env=production&tooltype=NMR

    CCE http://www.comodo.cn/product/cleaning_essentials.php
    DWC http://www.freedrweb.com/cureit/
    EEK http://www.emsisoft.com/en/software/eek/
    f1277135471
        17
    f1277135471  
    OP
       2014-08-21 22:44:52 +08:00
    @pimin

    1.昨晚登录QQ的时候提示我的帐号中午一点多在异地登录(河南,洛阳),过几分钟后发了违规信息,然后被封号(后来得知盗号者发的是黄色网站的广告图......)

    2.谢谢,表示没装过那些下载站上的软件,基本都是官网上下载的,而且装的软件也不多。就是NTFS分区上还留着很多以前用XP时下载的软件(只是留着安装程序而已,没有安装,还有一些是绿色软件),很多都不记得来源了...
    momo5269
        18
    momo5269  
       2014-08-21 22:48:56 +08:00
    不用木马盗QQ的思路:
    通过社工库获得的username、pw、个人信息、QQ关联进行社工,这个再简单不过了。

    个人唯一一次泄漏,便是因为TGBUS被脱裤,导致同UID和PW的游戏账号被盗
    于是后来启用了密码规则……
    nanpuyue
        19
    nanpuyue  
       2014-08-21 22:50:01 +08:00
    遇到这种情况,我会把重要文件备份,然后重装系统,当然重装时会选择格式化系统盘。

    高效无残留。
    momo5269
        20
    momo5269  
       2014-08-21 22:50:50 +08:00
    @f1277135471
    有些怀疑是通过web而非PC端盗的QQ……
    你说的论坛是不是bbs.qqxoo.com
    jsonline
        21
    jsonline  
       2014-08-21 22:51:11 +08:00 via Android
    不一定是中毒
    momo5269
        22
    momo5269  
       2014-08-21 22:52:48 +08:00
    @nanpuyue 这种情况要先检查MBR、对重要文件简单扫描一下……
    nanpuyue
        23
    nanpuyue  
       2014-08-21 22:56:36 +08:00
    @momo5269 这个,倒是忘了。
    ai0by
        24
    ai0by  
       2014-08-21 23:11:10 +08:00 via Android
    为什么一定是木马呢,盗取cookie不也可以实现么
    Vkme
        25
    Vkme  
       2014-08-21 23:22:18 +08:00 via Android
    楼主说的论坛一定是若人,哈哈。其实不是管理盗号,他们只是从盗号者那里买的信封,然后发给申请的人。
    kingcos
        26
    kingcos  
       2014-08-21 23:49:00 +08:00
    @f1277135471 卧槽= =我大洛阳。。。= =希望不要引起地域歧视。。。
    youling
        27
    youling  
       2014-08-22 04:05:26 +08:00
    不是大神还手工杀毒?
    f1277135471
        28
    f1277135471  
    OP
       2014-08-22 11:32:36 +08:00
    @momo5269 感谢大大发片>_>
    f1277135471
        29
    f1277135471  
    OP
       2014-08-22 11:34:10 +08:00
    @momo5269 这个也不是不可能,不过如果是这种的话那简直就是防不胜防......(ry
    f1277135471
        30
    f1277135471  
    OP
       2014-08-22 11:50:07 +08:00
    @nanpuyue 主要是文件太多太杂了,不论是筛选要保留的文件,还是在EXT4分区给这些文件腾出空间......
    f1277135471
        31
    f1277135471  
    OP
       2014-08-22 11:59:09 +08:00
    @momo5269 主要是刚装上QQ第二天就被盗,如果不是中木马的话那也太巧了...其实Web端我用的也比较少,多数是在手机上上ˊ _>ˋ
    f1277135471
        32
    f1277135471  
    OP
       2014-08-22 12:03:16 +08:00
    f1277135471
        33
    f1277135471  
    OP
       2014-08-22 12:03:53 +08:00
    @kingcos 为什么会引起地域歧视?
    f1277135471
        34
    f1277135471  
    OP
       2014-08-22 12:12:13 +08:00
    @youling 求推荐靠谱好用的杀毒软件...
    yyy
        35
    yyy  
       2014-08-22 12:54:16 +08:00
    歪个楼,我发现我在BGM也看到楼主。。。。
    kingcos
        36
    kingcos  
       2014-08-22 15:25:04 +08:00
    @f1277135471 害怕有人黑河南人呗= =
    momo5269
        37
    momo5269  
       2014-08-22 19:38:31 +08:00
    @f1277135471 上面说过的咱被盗也是很巧 那时刚好注册了两个论坛 一个是官方的 一个是非官方的 和游戏账号密码完全一致,然后就被盗了。相当一段时间怀疑是这俩被脱裤了,结果最后发现是TGBUS……

    用杀软或者工具查杀过木马病毒了么……查出来的话 能否告知一下是啥
    ai0by
        38
    ai0by  
       2014-08-22 20:22:45 +08:00 via Android
    @f1277135471 这个有很多种方式吧,不排除XSS
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1246 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 23:17 · PVG 07:17 · LAX 16:17 · JFK 19:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.