PID被劫持,值被强制修改

最近登陆自己的淘宝客网站-嘉乐购导购http://www.jialego.net,
为了自己方便专门做了一个单独的
搜索页面嘉乐购导购http://www.jialego.net/s和
充值页面嘉乐购导购http://www.jialego.net/cz,
几天前又有购物冲动,就自然而然得打开了
嘉乐购导购http://www.jialego.net/s的搜索页面,
输入要的东东,点击搜索,内容出来了,宝贝不少,结果无意看了一下网址,却发现打开网址中的PID值并不是我的,反复试了几次,仔细查看,刚开始网址里面还显示我的PID,最终显示内容时网址里的PID却变成别人的PID。

第一个反映是我的网站中招了,进入FTP查看,文件更改日期之类的,下载关键文件,并没有发现网站被黑的迹象。
借用别人的电脑打开,一切正常,说明一定是机子中招了,回忆了一下,也就最近安装过一个游戏,红色警戒2无敌之师繁体版,安装过程有提示安全信息,当时没注意。

马上祭起各种杀软,
360安全卫士,木马查杀没问题
360杀毒查杀无毒
瑞星杀毒查杀无毒
QQ电脑管家,木马查杀没问题
金山卫士,木马查杀没问题
Windows 清理助手,查杀没问题

凭着多年IT技术服务的敏感,就算结果是这样的,我还是确定系统中招了,而且是极限龌龊的,极可能是驱动程序级别的。

目前只有360的系统急救箱可以查出,但是查杀后,重启又会被还原。
文件位置
C:windowssystem32driversipinip.sys
大小变成140K左右,文件被我用unlocker强制删除了,没得保存下来具体的信息,

正常的
ipinip.sys
大小:20.3 KB (20,864 字节)
文件描述:IP in IP Encapsulation Driver

中招后出现的症状,上面提到的只是其中之一。URL访问跳转的时候浏览器被劫持。
用360的系统急救箱,系统文件修复功能,手动添加以上文件,就可以自动修复了。

此处就不提这家伙的PID是多少了,没有意义,朋友们自己小心,不明来历的软件能不装就别装,不清楚的网站能少上就少上。
因为淘宝是不会管也不会问的,反正每个月10%的费用是必拿的,钱到谁哪里才不关TA家的事。
就让我们怀疑阿里妈妈冻结收入的决心和能力吧!

12:23 2012-07-19
14:41 2012-07-20
2:20 2012-07-21

突然想起一句话,做网赚要有点黑客基础。(有的话可以赚很多。没有也可以。但赚的少。少的比例是多少?一天3000和一个月3000)

不得不说需要向此君学习,向钱看。

Tags: , , , ,

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • Twitter
  • RSS

Leave a Reply

You must be logged in to post a comment.

文字链