网维大师论坛-领先的网吧交流平台

 找回密码
 马上注册
查看: 5359|回复: 2

[游戏报错] 近期发生很多游戏闪退情况,已经确定全部为中毒后木马所为

[复制链接]
发表于 2016-6-7 19:24:48 | 显示全部楼层 |阅读模式
近期,很多用户来咨询,各种腾讯类游戏,运行过程中闪退,无任何错误提示) H, J6 H! w9 y6 ^5 t3 W" _

9 s3 J5 s+ i$ X2 j按照以往的经验,腾讯类游戏崩溃都会有错误提示,且如果是LOL的话,登录面板也应该还在不会关闭的2 {" D/ P0 Z- N5 j% j. d
, t8 t! e" q6 q
2 Z2 O" {: \4 [( o2 v; p
经过远程排查,他们都是在客户机开机命令被挂马,而自己并不知情
2 O, M! Y$ w/ U; H
/ _4 A/ y# I3 ?9 ?* \' W) m! }他们的服务器都用的VNC远程,怀疑与此有关
& a5 r( q( b5 t
, L) d" w/ G5 q4 a' B特此提醒所有用户,各种游戏运行过程中闪退,无任何提示,95%概率为已经客户机中了病毒下载器,病毒下载器下载回木马运行,木马将游戏进程结束,诱导着急的用户重新登录游戏,并在此时输入用户名密码过程中盗号4 T4 a$ J& e) X  E7 u* O; r
5 r) H* X2 z) ~" S6 W. L+ \
一但有此类问题的用户,首先先查看 开机命令 是否被植入病毒下载器,一般病毒下载器都是exe,也都是与系统进程相似的名称,很好区分8 Z* v5 v8 h3 I8 \
9系列版本 在控制台-->客户机管理-->开机命令2 N/ }- Y3 z# _( B: G, l/ Z
8系列版本 在控制台-->其他功能-->开机命令
7 N: A: V; ]7 d- _开机命令都是有修改时间记录的,自己好好想想这个时间是不是自己当时修改的时间
: i* d+ D. ]' ~# z( ]2 s+ K如果有开机命令但因为自己技术有限,不能确定哪个是病毒下载器,可以禁用开机命令
" q- B' |- }; f$ @; k
* G! _7 [) T3 _3 a. h再到镜像管理,查看客户机镜像最近是否被恶意修改过,是否有还原点,查看创建时间看是否被合并过) C3 v2 M# D6 b6 d+ [: e

6 J  C  _9 q: G: o- ]
: ]( p( a! V. F  v如果创建时间并不是你自己想象中的时间,那么请你重新做镜像2 X3 A% c, F# i) I

& a8 V+ ^1 w. h" v: q7 b如果已经关闭开机命令和重新做镜像还是有问题,则请在网吧没人的时候,停止服务删除
- q- N7 d) a" jC:\Program Files\网维大师\BarClientUpdate  (网维大师如果安装在别的盘就找安装位置)
0 q/ X( F1 Z% A$ h* C+ ^并删除镜像存放目录的 UpgradeResource
$ b  F4 `/ C5 x6 f1 T4 |0 C$ `6 A5 e3 S+ i; k
再重新安装服务端软件
7 ^  h1 h' F- \# f# T, X9 Y* A# o" S: e% s, q0 q; q) `  }9 L
注:停止服务会造成所有客户机死机或蓝屏,务必在无人情况下进行
) K% ]3 F& \$ @  r" ^# k
3 F6 P' H3 |& ?# v, P所有杀毒软件对于病毒下载器都是无能为力的,不要妄想装个杀毒就能解决,防火墙也只能阻止所有传入连接和这个病毒没有关系,你如果打开防火墙只会造成所有客户机连接不上服务器,造成死机,无法启动等问题
! F% r6 j& z. B9 a  _系统补丁也是仅仅是修改一些系统漏洞,现在能利用系统漏洞的人都是外企年薪上亿美元的人,不会来搞盗号的
; H2 ]. _* |0 s盗号的基本都只是VNC扫一下,或者跟一些厂家勾结在其软件或者下载器(如ZOL下载器,华军下载器等软件下载器)植入病毒,或者您自己维护团队内鬼所为,病毒下载器一旦运行其本身行为就和日常软件一样,下载文件然后运行,这样的软件写出来代码就2行,根本没有任何特征能让杀毒软件杀掉( O3 U% w' G  B0 c1 i) B+ I
$ q9 g* h' L8 P4 G, Y. F- U0 |' }
中毒很深的服务器系统exe都被感染的情况下,务必全盘格式化,重装系统
' J2 L' r6 Q* {0 s# u( s1 U* [; ]( f+ M0 k" q
另外:目前也有用户反馈自己关闭了领航和营销大师后病毒下载器消失,所以也建议用户,重新做镜像后并不要安装任何除了计费外的第三方软件来测试,如果怀疑计费所为也请不要安装计费软件测试+ V# q! ]& |4 F3 L5 P+ \& a* l2 E0 [

6 C. l0 r4 ]% z5 n! k
# j2 V* x/ o' W) @
发表于 2016-6-10 10:33:23 | 显示全部楼层
死性不改的系统,开超级,有时会检测不到外网ip,这时默认TTVNC密码PC0000-255.255.255.255
) D- I# Y/ t/ X有人在不停地用这个碰运气
回复 支持 反对

使用道具 举报

发表于 2017-3-11 10:51:07 | 显示全部楼层
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 马上注册

本版积分规则

QQ|《安全责任书》|联系我们|小黑屋|手机版|网维地图|网维大师论坛 ( 浙B2-20090265-1

GMT+8, 2018-4-26 21:17 , Processed in 0.107681 second(s), 26 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表