网吧三国
标题:
解决盗号问题分享--您需要用号码*******运行QQ才能继续
[打印本页]
作者:
az_mier
时间:
2016-5-6 16:50
标题:
解决盗号问题分享--您需要用号码*******运行QQ才能继续
本帖最后由 az_mier 于 2016-5-30 15:02 编辑
盗号----您需要用号码*******运行QQ才能继续
游戏菜单登陆QQ后,随机弹出如下界面
(, 下载次数: 56)
上传
点击文件名下载附件
点击立即运行后,弹出QQ登陆窗口
(, 下载次数: 69)
上传
点击文件名下载附件
如果这时候输入QQ密码,
恭喜你,你的QQ被盗了。。。
排查过程:
开机运行processmonitor后,登陆QQ等待“您需要用号码*******运行QQ才能继续”窗口弹出
“您需要用号码*******运行QQ才能继续”窗口,为正常的
timwp.exe,来自于腾讯qq软件。用于一键切换tm。临时对话kip支持。
(, 下载次数: 55)
上传
点击文件名下载附件
用
processmonitor查看:
(, 下载次数: 63)
上传
点击文件名下载附件
(, 下载次数: 69)
上传
点击文件名下载附件
有两个可疑的,一个svchost.exe,一个BidyT76.exe
一 先查找svchost.exe:
(, 下载次数: 61)
上传
点击文件名下载附件
此svchost.exe为伪装进程,父进程是4428,查找父进程4428
(, 下载次数: 68)
上传
点击文件名下载附件
4428父进程为5196,查找
父进程5196,BidyT76.exe
父进程为6096
(, 下载次数: 58)
上传
点击文件名下载附件
进程6096父进程为2168
(, 下载次数: 65)
上传
点击文件名下载附件
2168父进程为PubwinClient.exe
(, 下载次数: 66)
上传
点击文件名下载附件
二 查找BidyT76.exe:
(, 下载次数: 65)
上传
点击文件名下载附件
(, 下载次数: 68)
上传
点击文件名下载附件
最后
BidyT76.exe和伪装的svchost.exe
都指向PubwinClient.exe,正常的收费应该是不会做盗号的事情,
通过咨询网吧技术,发现网吧使用了Pubwin去广告程序
解决办法:
通过特征码拦截,把
BidyT76.exe和伪装的svchost.exe拦截,取消pubwin的去广告插件。
欢迎光临 网吧三国 (http://583go.com/)
Powered by Discuz! X3.4