2016年5月31日星期二

COMODO 这次立功了

自上次重装WIN7后就觉得哪儿不对劲。

1、并没做什么事,系统自带防火墙提示资源管理器要求访问网络,以前基本上没遇到过。

2、资源管理器还启动了svchost.exe。尽管文件本身没问题,但它通常应该是由services.exe 启动的。

3、偶尔能听到类似IE 浏览器刷新网页时的声音,但我并没开IE,进程里也没有。

4、今天突然弹出窗口,说网页堆栈错误云云,我用Process Hacker 找进程,就是那个被资源管理器启动的svchost.exe。

在此之前,我试过各种在线杀毒,BitDefender、ESET、Kaspersky、趋势、Sophos 等等,电脑上安装有Avast,昨天它曾经提示IE缓存出现了大概是木马网页,被清除。但以上这些都没解决问题。今天我甚至安装了360,因为我怀疑是国产广告软件之类,国外的不认。但最终仍然没查出来。

最后,我卸载了Avast,安装了CIS,打开HIPS,设置为疯狂模式,阻止了某几次请求。但这无非是禁止了那个svchost.exe 的某些行为。于是它就不停地尝试重新启动进程。通过CIS 带的查看网络连接,我发现svchost.exe 首先访问了百度的DNS,然后访问了浙江金华的一处电信机房。现在基本确定是有国产流氓在搞鬼了,也许是不停地点击广告,或者干其它坏事。昨天或许在下载木马但被Avast 阻止了。

这时我看到CIS 还有个CCE (COMODO Cleaning Essentials),以前从来没用过。试着运行了一次。它扫描完重启,最后清除了这个鬼。日志文件项目如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpKslKLeCCRootkit.HiddenService    HIDDENSVR    CleanOK

所以这是个Rootkit,以隐藏服务的方式运行。mpdsl 貌似跟微软的MSE 有关系,或许只是冒充。总之现在看进程,已经没有那几个被资源管理器启动的svchost 了。哎……虽然更喜欢Avast,但这次还是被COMODO 立功了啊。
发表评论