Re: [求救] LOL被植入木马该如何处理

楼主: deepdish (Keep The Faith)   2015-01-14 00:29:51
参考这篇文章
https://www.ptt.cc/bbs/LoL/M.1420851966.A.CA7.html
根据玩家和资安专家影片讲解
先检查电脑有没有这两个奇怪的档案
[恶意后门存放位置]
C:\Windows\System32\NtUserEx.dll
C:\Windows\System32\NtUserEx.dat
还不放心的话
最后趋势科技有说做出 PlugX 后门程式清除工具
http://esupport.trendmicro.com/solution/zh-TW/1107253.aspx
试试看吧
※ 引述《jack19921221 (羚羊)》之铭言:
: 跨年前看到这个消息
: 马上执行扫描 我是用小红伞免费版
: 扫了四个半小时什么都没扫到
: 查一下之前的工作记录发现在几天前有找到LoLtwlaucher.exe视为木马
: 可是在工作记录中只记录"已忽略"
: 今天再扫也没扫到
: 我现在是解除安装后删除所有我找得到的lol相关档案
: 想请教还有没有其他的解决办法呢
: 主要问题是如何确定有没有中毒 以及 该怎么处理 以及 处理后该如何确认已经没事了呢
: 对不起问得很乱 因为真的不太懂
: 刚刚爬了贵板很多文 也学了不少 真的很感谢各位版友
: 以下附上garena原文
: 各位亲爱的 Garena 玩家:
: 大家好,在 2014 年末的这一天,本来我们打算愉快地在 Facebook 上和你们说声新年快乐的,不过显然有些事情来的不是时候。
: 就在本月,我们发现遭到不明网络犯罪人士入侵,并在相关技术人员电脑、安装档服务器中植入木马程式,导致我们所派发的《英雄联盟》、《流亡黯道 PoE》游戏安装档遭到感染,可能影响的范围是部分新安装游戏或重灌游戏的玩家。在得知相关问题的当下,我们立即展开紧急处理,全面扫描内部硬件设备,并将相关档案更新,目前所有的状况已获得解决。
: 直到今天,我们并没有证据显示任何玩家的个人资讯(包括信用卡、帐号密码、姓名等)遭到泄露,我们会持续监控下去。同时,我们也确认玩家存放在我们服务器上的资料已受到保护。
:  
: 现在,我们希望透过这篇公告,请玩家协助我们进行下列步骤,确保您的电脑不受威胁:
: 步骤一:更新最新档案
: 我们已全面审视所有游戏相关档案,确保所有玩家在更新到游戏最新版本时皆为安全无虞,所以请玩家务必将游戏档案更新。
: 步骤二:立即以防毒软件扫描全系统
: 请安装合法防毒软件,并立即扫描电脑,以确保电脑不受感染。此外,切勿使用来路不明的程式及浏览可疑网站,建议使用 F-Secure、AVG 等各大防毒软件。
: 步骤三:【更换密码】
: 为确保玩家们的帐号安全,建议玩家定期更换密码,避免有心人士盗用。
: 步骤四:【启用免费的“Garena 两步骤验证”】
: 我们提供了对应手机电话的“Garena 两步骤验证”,欢迎玩家透过启用此免费机制,加强对帐号密码的保护。
:  
: 另外提醒各位,我们的人员不会在线上透过电话、竞时通、Email 等任何方式询问您的个人密码。所以请妥善保管您的密码,勿告知其他人员。
: 我们相信透过这些规则,可以大幅提升资讯安全。若各位仍对自己的电脑安全有疑虑,请更新防毒软件后进行全面扫毒。我们的【线上小帮手】及【回报系统】也将热忱为玩家解答相关问题,若对任一步骤或安全仍有疑问的玩家,欢迎随时告知我们。
:  
: 我,代表台湾竞舞娱乐有限公司,要为此向所有玩家郑重地说声对不起。我们在这些问题发生的当下非常自责,也一定在未来作更严密的监控,杜绝相关问题再度发生。
: 最后,我知道有少数用户或组织在我们发现问题之前,就已经发现这个问题。我要谢谢你们的回报。
: 台湾竞舞娱乐有限公司 台港澳区 执行长 
:
作者: hihieveryone (逐浪人)   2015-01-14 17:51:00
别傻了根本很多都清不掉你们根本就不知道那有多恐怖就连sony碰到攻击也要倒下有谁能幸免?我最近在处理就感觉到难度高很多像是钻到MBR里面的隐码对于没两个硬盘的玩家怎么办?清掉mbr就等于他全被清空了他要备份也不行因为备份的档案都被感染了还有种会钻到韧体里的更烦你清掉mbr他还是在不用说其他手机和mac你们可以试试去拦截一些平常常用的小程式的动作会发现就算是防毒软件手脚都不太干净就连我研究这个领域那么久的人要解这些都花超多时间

Links booklink

Contact Us: admin [ a t ] ucptt.com