中了木马,RAVSOCKC.DLL
从路由器的日志发现开机后自动访问zgf.w8.c361.com:80,IP地址是121.14.139.12。
用netstat查看,发现通过本机的11xx端口连接到121.14.139.12,但过一会儿就没了。
查看启动项,发现一个叫作BITS的服务比较可疑,svchost调用的dll是c:\windows\system32\drivers\ravsockc.dll。
文件的修改日期是2008年8月22号。诸多现象表明这是一个木马,尝试直接删除,失败,重启至DOS下重命名为.bak,再到Windows里面BITS服务就启动不了,初步删除成功。
到网上搜索“ravsockc.dll”,压根本没有结果,后来总算摸到一点线索,貌似作者还在为它的作品能够过几个著名的杀软而沾沾自喜呢。
为了防止没有清除干净,安装了防火墙,添加IP规则和URL规则,禁止访问以上两个地址。
之前好像下载过一个“QQ第六感”,用来探测局域网的QQ号的,也是一个朋友想要,让我帮忙找的,估计就是这玩意儿惹的。