[求助]我的电脑被中了木马资料被删了60G-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼前天解压一病毒,在影子系统下做的,老久没见解开. 当时还开着微点,然后就是蓝屏,死机. 重启后,BIOS还能认出硬盘,但是所有分区都不见了,郁闷. 只好重新分区重新装系统. 还好,2月9号刚刚备份的.数据没丢,只是浪费时间. 2007-3-3 15:25 0
饺仔雪币： 126 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	饺仔 3 楼 55555他连我备份都一起删了郁闷 2007-3-3 15:32 0
寒风雨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	寒风雨 4 楼这样的人做的也太过分了。 2007-3-3 15:39 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 5 楼对付你这样的人，刚刚好！ 2007-3-3 16:45 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 6 楼你想分析些什么？样本都没有，怎么分析 2007-3-3 16:51 0
烟雨星尘雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	烟雨星尘 7 楼备份最好放移动硬盘啊，呵呵。不过我连备份也没有。 2007-3-3 17:23 0
kmyc 雪币： 235 活跃值： (17) 能力值： ( LV9，RANK：170 ) 在线值：发帖 11 回帖 76 粉丝 1 关注私信	kmyc 4 8 楼我还以为是要问资料被删了怎么恢复呢，要是资料被误删了或者被恶意删除了，可以试试Ontrack出的EasyRecovery Professional，蛮好用的。毕竟所谓删除，一般就是删除文件描述表，文件的内容还是在磁盘上，只要你没有大规模的文件写入，或者磁盘整理。NTFS的文件描述表索引和FAT32的文件分配表（FAT表）那么重要，万一无意被破坏――包括软件上的和硬件上的――怎么办？所以嘛，windows会有至少一份备份。所以放心好啦，当然，如果文件被删除后没有关机，那恢复起来就更完美了，呵呵，怎么搞得我像是做广告亚 2007-3-3 20:42 0
bluehey 雪币： 100 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bluehey 9 楼好惨啊可怜的孩子 2007-3-3 23:33 0
饺仔雪币： 126 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	饺仔 10 楼我初步找出了一点线索通过IP的连接可以知道木马反向连接的是湖北武汉的IP 分析DLL得到敏感的信息具体如下 TCP 220.173.42.127:2941 219.133.63.142:443 CLOSE_WAIT 2740 TCP 220.173.42.127:3201 219.133.60.243:8000 CLOSE_WAIT 2740 TCP 220.173.42.127:3373 58.59.146.85:3280 CLOSE_WAIT 2740 TCP 220.173.42.127:4639 121.62.160.37:9000 SYN_SENT 836 TCP 220.173.42.127:2941 219.133.63.142:443 CLOSE_WAIT 2740 TCP 220.173.42.127:3201 219.133.60.243:8000 CLOSE_WAIT 2740 TCP 220.173.42.127:3373 58.59.146.85:3280 CLOSE_WAIT 2740 TCP 220.173.42.127:4679 61.183.83.147:9000 SYN_SENT 836 本机IP请求连接121.62.160.37 以及61.183.83.147操作标志为SYN_SENT(同步发送) 分析SystenDLL得到敏感信息如下: 003E7624 BA 68773E00 mov edx, 003E7768 ; ASCII "http://swz2006.to.8866.org" 003E7629 E8 22B0FEFF call 003D2650 003E762E B8 44FC3E00 mov eax, 003EFC44 003E7633 BA 8C773E00 mov edx, 003E778C ; ASCII "TrkWks" 003E7638 E8 13B0FEFF call 003D2650 003E763D B8 34FC3E00 mov eax, 003EFC34 003E7642 BA 9C773E00 mov edx, 003E779C 003E7647 E8 04B0FEFF call 003D2650 003E764C C705 4CFC3E00 0>mov dword ptr [3EFC4C], 1 003E7656 33C0 xor eax, eax 003E7658 A3 48FC3E00 mov dword ptr [3EFC48], eax 003E765D 8D45 B0 lea eax, dword ptr [ebp-50] 003E7660 E8 1BD6FEFF call 003D4C80 003E7665 8B55 B0 mov edx, dword ptr [ebp-50] 003E7668 B8 5CFC3E00 mov eax, 003EFC5C 003E766D B9 B4773E00 mov ecx, 003E77B4 ; ASCII "TrkWkswz.dll" 003E7672 E8 75B1FEFF call 003D27EC SWZ2006这个名字我在GOOGLE搜索了一下发现又几个人叫这个名字的目前正在缩小范围 http://swz2006.to.8866.org这个地址转向是webhop.3322.org 我正在不断的收集敏感信息总之我一定要把他抓出来就在我发现被种马的时候准备开始清除这个禽兽把我机子重启了还在我各个盘符放了熊猫烧香病毒以及金猪病毒还把我的备份都删了里面有学校教给我的任务我辛苦了很久才做出来的哎...我比电脑还伤啊!! 希望各位高手能帮我多提供些信息小弟感激不尽! 另附带熊猫和金猪的病毒提供大家研究分析 http://58.60.9.141/cgi-bin/dl?0562EECA2EB388C45DA6892B85F7B54D0D232BDC888E6B2A747A8D765E247BC49760D47F84C33C1ADA1D9C0CDE3876703DBBFD6AEF115E6907CAAFE79B5465C207C765A1ED1BD936BC39A74BCE81BD4CE8E5076B8C553A4FFEF6A/病毒.rar 2007-3-4 01:03 0
will 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	will 11 楼这个systen.dll是灰鸽子变种“守望者”的这本来只是个远程控制的病毒估计那个放木马的人还另外在你电脑上装了“熊猫烧香”之类的病毒把你所有.gho文件都删了守望者是可以清除的不过你丢失的60g文件就没办法了... 2007-3-4 14:13 0
eltie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	eltie 12 楼你有没有把硬盘的分区全格一次呀?要是没有的话,我能帮你找会数据! 请会话,谢谢 2007-3-4 23:21 0
饺仔雪币： 126 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	饺仔 13 楼数据我自己回复了不少可是损失毕竟还是有的。。。我的 QQ密码是插入试输入的还是被偷了 QB也没了这些都是无法恢复的不过还是非常感谢楼上的兄弟我要开学了也没那么多时间去弄这些了谢谢大家一直以来对我的关心谢谢了！！ 2007-3-7 13:49 0
angellwx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	angellwx 14 楼高手对决?闪远点别喷到血了呵呵 2007-3-9 00:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼前天解压一病毒,在影子系统下做的,老久没见解开. 当时还开着微点,然后就是蓝屏,死机. 重启后,BIOS还能认出硬盘,但是所有分区都不见了,郁闷. 只好重新分区重新装系统. 还好,2月9号刚刚备份的.数据没丢,只是浪费时间. 2007-3-3 15:25 0
饺仔雪币： 126 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	饺仔 3 楼 55555他连我备份都一起删了郁闷 2007-3-3 15:32 0
寒风雨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	寒风雨 4 楼这样的人做的也太过分了。 2007-3-3 15:39 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 5 楼对付你这样的人，刚刚好！ 2007-3-3 16:45 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 6 楼你想分析些什么？样本都没有，怎么分析 2007-3-3 16:51 0
烟雨星尘雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	烟雨星尘 7 楼备份最好放移动硬盘啊，呵呵。不过我连备份也没有。 2007-3-3 17:23 0
kmyc 雪币： 235 活跃值： (17) 能力值： ( LV9，RANK：170 ) 在线值：发帖 11 回帖 76 粉丝 1 关注私信	kmyc 4 8 楼我还以为是要问资料被删了怎么恢复呢，要是资料被误删了或者被恶意删除了，可以试试Ontrack出的EasyRecovery Professional，蛮好用的。毕竟所谓删除，一般就是删除文件描述表，文件的内容还是在磁盘上，只要你没有大规模的文件写入，或者磁盘整理。NTFS的文件描述表索引和FAT32的文件分配表（FAT表）那么重要，万一无意被破坏――包括软件上的和硬件上的――怎么办？所以嘛，windows会有至少一份备份。所以放心好啦，当然，如果文件被删除后没有关机，那恢复起来就更完美了，呵呵，怎么搞得我像是做广告亚 2007-3-3 20:42 0
bluehey 雪币： 100 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bluehey 9 楼好惨啊可怜的孩子 2007-3-3 23:33 0
饺仔雪币： 126 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	饺仔 10 楼我初步找出了一点线索通过IP的连接可以知道木马反向连接的是湖北武汉的IP 分析DLL得到敏感的信息具体如下 TCP 220.173.42.127:2941 219.133.63.142:443 CLOSE_WAIT 2740 TCP 220.173.42.127:3201 219.133.60.243:8000 CLOSE_WAIT 2740 TCP 220.173.42.127:3373 58.59.146.85:3280 CLOSE_WAIT 2740 TCP 220.173.42.127:4639 121.62.160.37:9000 SYN_SENT 836 TCP 220.173.42.127:2941 219.133.63.142:443 CLOSE_WAIT 2740 TCP 220.173.42.127:3201 219.133.60.243:8000 CLOSE_WAIT 2740 TCP 220.173.42.127:3373 58.59.146.85:3280 CLOSE_WAIT 2740 TCP 220.173.42.127:4679 61.183.83.147:9000 SYN_SENT 836 本机IP请求连接121.62.160.37 以及61.183.83.147操作标志为SYN_SENT(同步发送) 分析SystenDLL得到敏感信息如下: 003E7624 BA 68773E00 mov edx, 003E7768 ; ASCII "http://swz2006.to.8866.org" 003E7629 E8 22B0FEFF call 003D2650 003E762E B8 44FC3E00 mov eax, 003EFC44 003E7633 BA 8C773E00 mov edx, 003E778C ; ASCII "TrkWks" 003E7638 E8 13B0FEFF call 003D2650 003E763D B8 34FC3E00 mov eax, 003EFC34 003E7642 BA 9C773E00 mov edx, 003E779C 003E7647 E8 04B0FEFF call 003D2650 003E764C C705 4CFC3E00 0>mov dword ptr [3EFC4C], 1 003E7656 33C0 xor eax, eax 003E7658 A3 48FC3E00 mov dword ptr [3EFC48], eax 003E765D 8D45 B0 lea eax, dword ptr [ebp-50] 003E7660 E8 1BD6FEFF call 003D4C80 003E7665 8B55 B0 mov edx, dword ptr [ebp-50] 003E7668 B8 5CFC3E00 mov eax, 003EFC5C 003E766D B9 B4773E00 mov ecx, 003E77B4 ; ASCII "TrkWkswz.dll" 003E7672 E8 75B1FEFF call 003D27EC SWZ2006这个名字我在GOOGLE搜索了一下发现又几个人叫这个名字的目前正在缩小范围 http://swz2006.to.8866.org这个地址转向是webhop.3322.org 我正在不断的收集敏感信息总之我一定要把他抓出来就在我发现被种马的时候准备开始清除这个禽兽把我机子重启了还在我各个盘符放了熊猫烧香病毒以及金猪病毒还把我的备份都删了里面有学校教给我的任务我辛苦了很久才做出来的哎...我比电脑还伤啊!! 希望各位高手能帮我多提供些信息小弟感激不尽! 另附带熊猫和金猪的病毒提供大家研究分析 http://58.60.9.141/cgi-bin/dl?0562EECA2EB388C45DA6892B85F7B54D0D232BDC888E6B2A747A8D765E247BC49760D47F84C33C1ADA1D9C0CDE3876703DBBFD6AEF115E6907CAAFE79B5465C207C765A1ED1BD936BC39A74BCE81BD4CE8E5076B8C553A4FFEF6A/病毒.rar 2007-3-4 01:03 0
will 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	will 11 楼这个systen.dll是灰鸽子变种“守望者”的这本来只是个远程控制的病毒估计那个放木马的人还另外在你电脑上装了“熊猫烧香”之类的病毒把你所有.gho文件都删了守望者是可以清除的不过你丢失的60g文件就没办法了... 2007-3-4 14:13 0
eltie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	eltie 12 楼你有没有把硬盘的分区全格一次呀?要是没有的话,我能帮你找会数据! 请会话,谢谢 2007-3-4 23:21 0
饺仔雪币： 126 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	饺仔 13 楼数据我自己回复了不少可是损失毕竟还是有的。。。我的 QQ密码是插入试输入的还是被偷了 QB也没了这些都是无法恢复的不过还是非常感谢楼上的兄弟我要开学了也没那么多时间去弄这些了谢谢大家一直以来对我的关心谢谢了！！ 2007-3-7 13:49 0
angellwx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	angellwx 14 楼高手对决?闪远点别喷到血了呵呵 2007-3-9 00:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]我的电脑被中了木马 资料被删了60G

[求助]我的电脑被中了木马资料被删了60G