生平第一次被 QQ 盗号，求教如何手工查杀木马？

很多见不得光的东西已然成为了产业。举报？吃顿饭就化解了。难啊难。
用osx保平安吧。

@zjgood 有钱的话我也想换OS X啊（ry

@f1277135471 苹果不是只有白的，你可以先试试黑苹果。。。。然后慢慢过渡到白的

@zjgood 黑苹果不稳定吧，我觉得要换OS X的话就该直接上白的了（再说我现在这低配AMD平台也上不了黑苹果......

楼主说的“该论坛的管理员去盗别人的QQ号，论坛网友刷积分，通过积分向管理员索要帐号密码”我有点不懂，管理员是怎么盗号的？没木马戓监控也能？

手杀工具： http://www.xuetr.com/?p=191
入门教程： http://wenku.baidu.com/view/db763513a21614791711284c.html

1. 干嘛要手动查杀，杀毒软件不比手动强？

2. 不用病毒就盗号的方法有很多，比如钓鱼、投诉等等。

3. 盗 QQ 号是违法的，06 年有过一次判决，今后的判决可以援引这次的先例。

4. 我也是很好奇，在 v2 ，为什么不管电脑出了什么问题都会有人说换 OS X 。12 年苹果自己的宣传标语中都去掉了 “不会感染 PC 病毒” 的字样，怎么还有这么多人笃信 OS X 无病毒？

@kmvan 不知道，没看见他们提到管理员是如何盗号的...

@sandtears 没有笃信，直接中奖率相对较低。

手机装QQ安全中心，支持锁定，快捷改密

@sandtears 第四个，只要不瞎晃悠，linux的安全性还是很可靠的

1.空间发图不一定是被盗，有可能是本地脚本；
2.手工查杀木马思路：
1）查找启动项：
大致范围：注册表、服务、启动目录、计划任务。
2)可疑进程排查：
需要对系统、常规进程有一定熟悉

找到恶意程序之后，如何删除就比较简单了。

关于win安全性，我觉得不去乱七八糟的下载站下软件，基本上不会有啥问题。

@faceair 谢谢，文章好长...我去看看。

@sandtears

1）求推荐靠谱的杀毒软件（目前正在用小红伞...

2）感觉这两个可能性不大，还有没有什么其他的途径？

3）那么，请问我应该向什么部门举报？

4）可能是针对OS X的病毒相对比较少吧...

告诉你一堆工具好了 = =

ARK：PowerTool / PCHunter

FIX：Norton Power Eraser、360系统急救箱、金山顽固木马专杀工具

SCAN：EmsisoftEmergencyKit、McAfeeSecurityscan、Kaspersky Virus Removal Tool、Dr.Web CureIt!、CCE、PandaCloudCleaner、Microsoft Support Emergency Response Tool

我的处理方案是：


A 直接安装杀毒软件
Aavast! Avira AVG CIS NIS NOD32 360TS
进行关键位置查杀后，根据需求开启全盘扫描
(Comodo可以只安防火墙配合前面的杀毒软件)

B 不安装杀毒软件，半手工实用工具的思路：

1）
1.1）准备好上文的ARK、FIX和SCAN中的2-3个（推荐CCE/Dr.Web CureIt!/EmsisoftEmergencyKit）
1.2）使用ARK，检查进程和启动项。（如不了解，请下一步）

2）
2.1）360系统急救箱→修复系统文件→勾选强力模式和进程管制→开始急救。
2.2）顽固木马专杀工具扫描，检查出问题后重启再扫一次重启。还有请转入3.1。
2.3）Norton Power Eraser扫描并处理风险项目

3）如果以上工具无法处理，欲进行全盘扫描
3.1）打开Dr.Web CureIt!，启动扫描
3.2）如需指定位置扫描 推荐三个都可以 效率上CCE＞DWC＞EEK
3.3）手工确认处理项目，结束

附注：
1--360的往往会把你的一些个人设置给清掉……
2--金山那工具报毒数量看上去多不要紧，某个版本后他把风险项目也叫病毒了，so
这货是用来确认风险等级的，如果遇到项目≥10，建议进行指定位置扫描。
3--如果当前系统环境风险较高，推荐使用各安全厂商提供的杀毒Live，卡饭的杀毒PE亦可。


附录2：工具地址，其实其余的都很好找

PowerTool http://about.me/ithurricanept
NPE https://security.symantec.com/nbrt/npe.aspx?ssdcat=221&lcid=2052&origin=unk&env=production&tooltype=NMR

CCE http://www.comodo.cn/product/cleaning_essentials.php
DWC http://www.freedrweb.com/cureit/
EEK http://www.emsisoft.com/en/software/eek/

@pimin

1.昨晚登录QQ的时候提示我的帐号中午一点多在异地登录（河南，洛阳），过几分钟后发了违规信息，然后被封号（后来得知盗号者发的是黄色网站的广告图......）

2.谢谢，表示没装过那些下载站上的软件，基本都是官网上下载的，而且装的软件也不多。就是NTFS分区上还留着很多以前用XP时下载的软件（只是留着安装程序而已，没有安装，还有一些是绿色软件），很多都不记得来源了...

不用木马盗QQ的思路：
通过社工库获得的username、pw、个人信息、QQ关联进行社工，这个再简单不过了。

个人唯一一次泄漏，便是因为TGBUS被脱裤，导致同UID和PW的游戏账号被盗
于是后来启用了密码规则……

遇到这种情况，我会把重要文件备份，然后重装系统，当然重装时会选择格式化系统盘。

高效无残留。

@f1277135471
有些怀疑是通过web而非PC端盗的QQ……
你说的论坛是不是bbs.qqxoo.com？

不一定是中毒

@nanpuyue 这种情况要先检查MBR、对重要文件简单扫描一下……

@momo5269 这个，倒是忘了。

为什么一定是木马呢，盗取cookie不也可以实现么

楼主说的论坛一定是若人，哈哈。其实不是管理盗号，他们只是从盗号者那里买的信封，然后发给申请的人。

@f1277135471 卧槽= =我大洛阳。。。= =希望不要引起地域歧视。。。

不是大神还手工杀毒？

@momo5269 感谢大大发片>_>

@momo5269 这个也不是不可能，不过如果是这种的话那简直就是防不胜防......（ry

@nanpuyue 主要是文件太多太杂了，不论是筛选要保留的文件，还是在EXT4分区给这些文件腾出空间......

@momo5269 主要是刚装上QQ第二天就被盗，如果不是中木马的话那也太巧了...其实Web端我用的也比较少，多数是在手机上上ˊ _>ˋ

@ai0by 盗取Cookie是指这种吗 http://www.wooyun.org/bugs/wooyun-2010-036200

@kingcos 为什么会引起地域歧视？

@youling 求推荐靠谱好用的杀毒软件...

歪个楼，我发现我在BGM也看到楼主。。。。

@f1277135471 害怕有人黑河南人呗= =

@f1277135471 上面说过的咱被盗也是很巧 那时刚好注册了两个论坛 一个是官方的 一个是非官方的 和游戏账号密码完全一致，然后就被盗了。相当一段时间怀疑是这俩被脱裤了，结果最后发现是TGBUS……

用杀软或者工具查杀过木马病毒了么……查出来的话 能否告知一下是啥

@f1277135471 这个有很多种方式吧，不排除XSS