论坛 › ＰＣ数码 › 被盗号了,作为死宅的我陷入了深深的恐惧(更新spso.sys是啥?)

Microsoft 发表于 2010-7-17 19:33

被盗号了,作为死宅的我陷入了深深的恐惧(更新spso.sys是啥?)

本帖最后由 Microsoft 于 2010-7-18 22:51 编辑

曾经我有句话,电脑就是女人
自己的电脑就是老婆,网吧电脑就是妓女
如今,自己的老婆被人QJ了,我竟然无能为力...

求大夫治疗...

山口山一账号被盗,其他账号暂时未发现异常
账号存放是明文bmp图片,桌面建立快捷方式,约大半年没更换过密码和密保卡
浏览器为FF,常年自动更新
系统XPSP3,常年自动更新
杀毒为KAV,常年自动更新
防火墙自带

无异常服务器,无异常自启动,无异常进程
山口山文件正常

IE浏览器只用来登陆网银,以及某些时候登陆电信/移动网站充值,以及支付宝

近期不正常状况存在如下
ADSL猫时有断线,当然这可能跟猫老化有关
山口山进行中,偶尔会出现网络阻塞那种的卡,不多,记忆中就2,3次而已并且不是出现在被盗的账号上
被盗时间大约是17日上午8点,那段时间我在睡觉...

账号还有一人知道,不过对方已经很久都没用过电脑了

求解...

请勿吐槽ID...

--------------------------------------------
受人启发抛弃Process Explorer,转用xuetr查看...
如图...
http://i3.6.cn/cvbnm/79/d8/70/adf2179ce7698de216dedb68e17b1509.jpg

-------------------------------------------
内核里面有个spso.sys不知道是干嘛的
请教高人
http://i3.6.cn/cvbnm/09/53/a0/9c309219b8dda96971b0b30f65a2c4e5.jpg

FSD是什么意思呢...
http://i3.6.cn/cvbnm/f2/48/14/60c38eab3c406979035634630947f2b1.jpg

Microsoft 发表于 2010-7-17 19:34

本帖最后由 Microsoft 于 2010-7-17 19:36 编辑

补充
前几次S1被挂马,我貌似在无人监守挂机中
会中招吗?可KAV无警报,且也没有其他异常...

再补充
山口山从欧服公测开始,就无被盗记录...
请理解我此时的恐惧的心情...

jestime 发表于 2010-7-17 19:36

账号存放是明文bmp图片
你这是干什么?

Microsoft 发表于 2010-7-17 19:37

账号存放是明文bmp图片
你这是干什么?
jestime 发表于 2010-7-17 19:36 http://bbs.saraba1st.com/2b/images/common/back.gif
记性不好,记不住随机密码+密保卡
我知道这样一旦被入侵,就等于裸体了
可问题我找不到被入侵的痕迹...

jestime 发表于 2010-7-17 19:46

写在纸片上都好过丢电脑上啊,找不到痕迹不代表没有...密保卡这东西我从来不用,就转服务器的时候用过

宅男的爱 发表于 2010-7-17 19:56

密保卡……

国服？去查下战网通行证的申诉报告

Microsoft 发表于 2010-7-17 20:09

密保卡……

国服？去查下战网通行证的申诉报告
宅男的爱 发表于 2010-7-17 19:56 http://bbs.saraba1st.com/2b/images/common/back.gif
什么申诉报告?
邮寄的?没有
BN绑定的邮箱只有3月份一个感谢举报XXX和我刚刚修改密码的提示

宗像香住 发表于 2010-7-17 20:16

巨硬也会求人吗

ufoasdf666 发表于 2010-7-17 22:43

盗号的很有技术的。。。

我国服的号从来没被盗过，在网吧也上过后密码也改过，自己机器杀软什么的也不会出问题

就9c被163ntr停服前那次大规模盗号我也中招了

原来人家不是不能搞我们，是没空理我们。。。

不过好像工作量太大，我的钱邮过去没收等163开了一星期它又给退回来了

Microsoft 发表于 2010-7-17 23:24

再一次全面检查过系统,还是没有发现任何问题,我勒个去,这到底是怎么了...
虽然是明文bmp存放,不过我可从来没用\"账号密保\"这种名字,我都是用什么\"毛概理论复习\"这种掩人耳目,外加去掉扩展名,我不信有木马这么智能?

什么版本变更,更换代理,前前后后若干次盗号风波一直都没咱的事...
日啊...这种被QJ了但是你不知道是谁QJ了你甚至是用肉棒还是用橡胶棒QJ都不知道的感觉真TM恶心...

rms117 发表于 2010-7-17 23:56

zerocount 发表于 2010-7-18 00:03

密码保护再好 您登陆总得用吧
别用乱七八糟插件 还自动升级弄成可信任的

赤色彗星SE 发表于 2010-7-18 00:26

本帖最后由 赤色彗星SEXY 于 2010-7-18 00:27 编辑

怕入侵就搞个路由，在路由后面就很少被攻击了
那些乱七八糟的语音工具带读的多了，什么多玩的经常带马

Microsoft 发表于 2010-7-18 01:34

WOW插件?
我只从curse上下的单体,而且就那么几个常规插件
OMEN/Big wigs/Recount/Grid/bank items

其他软件自动升级的,就一个搜狗输入法,我的还是4.22老版本,只升级下词库而已
FF插件只有google toolbar/ABP/everyreload/flashgot/JAVA/腾讯邮箱插件

语音工具只有TS(英文原版),UCtalk(2.0老版本,很久没登陆了),以及YY...这个...没办必须装...


帖个图..懂的人来帮忙看看是不是...那啥...
http://i3.6.cn/cvbnm/79/d8/70/adf2179ce7698de216dedb68e17b1509.jpg

无念 发表于 2010-7-18 01:52

确定不是网吧？

火星来客 发表于 2010-7-18 01:54

klif.sys我记得是卡巴的驱动

Microsoft 发表于 2010-7-18 02:00

还有一个spso.sys有点奇怪

rms117 发表于 2010-7-18 02:43

Microsoft 发表于 2010-7-18 15:16

给过一个朋友
不过他已经很久都没碰过存放有我密保的电脑了

鱿鲤 发表于 2010-7-18 17:47

去年换代理前夕被盗，身上1万金消失。几天后我才注意被盗，发现bigfoot.exe被挂马，估计是下了恶意插件了。

xxyyzz7711 发表于 2010-7-18 19:50

个人觉得系统没问题,我还真不信在这种情况下有能偷到这样一份BMP的
查插件和以前是不是泄漏过密保吧(邮箱什么的)

Microsoft 发表于 2010-7-18 22:31

本帖最后由 Microsoft 于 2010-7-18 22:35 编辑

从来不用bigfoot这种插件...任何有exe的东西都不会进wow目录...

邮箱是每个账号独立注册,密码随机...

甚至最近大半年,我都很少去NGA之类的WOW网站...

又检查了一边WOW目录下的wow.exe以及 addons目录...还是没什么疑点...
包括一些dll文件也是正常...

囧死了..老子的菊花到底怎么被爆了

补充一下
我机器经常无人状态挂S1,TGFC,窝内
目前除了S1有过被中木马记录,其他没有相关报告
然后最近的一次S1我的卡巴没有报警...是会因为这个原因吗?

鸡蛋灌饼 发表于 2010-7-18 22:44

本帖最后由 鸡蛋灌饼 于 2010-7-18 22:47 编辑

重装系统，卡巴杀全盘然后再说
如果可能，换64位的Windows 7/Vista/任何NT6系统

你这是什么情况我不晓得，我只知道XP下精巧的rootkit能玩死任何对其不熟悉的用户。

Microsoft 发表于 2010-7-18 22:55

重装系统，卡巴杀全盘然后再说
如果可能，换64位的Windows 7/Vista/任何NT6系统

你这是什么情况我不晓得，我只知道XP下精巧的rootkit能玩死任何对其不熟悉的用户。 ...
鸡蛋灌饼 发表于 2010-7-18 22:44 http://bbs.saraba1st.com/2b/images/common/back.gif
俺也知道rootkit很厉害

不过作为针对WOW盗号这种广撒网,应该没必要这么有针对而且毫无痕迹的吧...

我现在是一筹莫展啊~~

卡巴我都快不信任他了...下次换微点...

ViVac 发表于 2010-7-18 22:58

spso.sys应该是deamon tools的驱动，每次启动后两个字母都不一样，spxx.sys这样。

Microsoft 发表于 2010-7-18 23:03

spso.sys应该是deamon tools的驱动，每次启动后两个字母都不一样，spxx.sys这样。
ViVac 发表于 2010-7-18 22:58 http://bbs.saraba1st.com/2b/images/common/back.gif
...好像一直都是这个...

顺便送去检测...也就一个说有问题...
http://www.virscan.org/report/46bfba634a7fc136cd8125ebb21df354.html

福原爱 发表于 2010-7-19 01:36

用密保的时候天天被盗号，不用密保后从来没被盗过，没事别乱用插件

鸡蛋灌饼 发表于 2010-7-19 09:51

spso.sys应该是deamon tools的驱动，每次启动后两个字母都不一样，spxx.sys这样。
ViVac 发表于 2010/7/18 22:58 http://bbs.saraba1st.com/2b/images/common/back.gif
DT的驱动是sptd

赤色彗星SE 发表于 2010-7-19 09:59

再一次全面检查过系统,还是没有发现任何问题,我勒个去,这到底是怎么了...
虽然是明文bmp存放,不过我可从来没用\"账号密保\"这种名字,我都是用什么\"毛概理论复习\"这种掩人耳目,外加去掉扩展名,我不信有木马这么 ...
Microsoft 发表于 2010-7-17 23:24 http://bbs.saraba1st.com/2b/images/common/back.gif

如果直接扫文件头的话，扩展名没啥用
YY什么的很容易挂马的
你启动wow然后用xuetr查询下进程中没有数字签名的模块

二进制 发表于 2010-7-19 10:20

社会工程学范例？

Microsoft 发表于 2010-7-19 13:56

如果直接扫文件头的话，扩展名没啥用
YY什么的很容易挂马的
你启动wow然后用xuetr查询下进程中没有数字签名的模块
赤色彗星SEXY 发表于 2010-7-19 09:59 http://bbs.saraba1st.com/2b/images/common/back.gif
http://i3.6.cn/cvbnm/78/47/25/881c80587aeef05c1e54e2c4b2268abb.jpg

赤色彗星SE 发表于 2010-7-19 14:01

你帖的啥，右键随便一个进程，选择查找进程中没有数字签名的模块

包哥哥 发表于 2010-7-19 14:24

我最近账号也被盗过2次，2次都没绑密保因为觉得麻烦。没被盗的时候查木马查不到，一旦被盗马上查就是10几个名字还不一样。忠告一句，什么X城，什么草榴可以上，没马，但是很多种子的链接就有马，这是我长期以来的经验。另外，不要把密保卡纹在你老婆的屁股上

ViVac 发表于 2010-7-19 15:33

DT的驱动是sptd
鸡蛋灌饼 发表于 2010-7-19 09:51 http://bbs.saraba1st.com/2b/images/common/back.gif

你自己先去搜索一下spxx.sys,记得用谷歌。

http://bbs.kafan.cn/thread-712038-1-1.html

Microsoft 发表于 2010-7-19 18:03

本帖最后由 Microsoft 于 2010-7-19 18:04 编辑

你帖的啥，右键随便一个进程，选择查找进程中没有数字签名的模块
赤色彗星SEXY 发表于 2010-7-19 14:01 http://bbs.saraba1st.com/2b/images/common/back.gif
http://i3.6.cn/cvbnm/12/0f/88/768fc837afb590315e22f27b74cbffa9.jpg
ousock32.dll是以前用的雷速代理
难道雷速黑手盗号?

查看完整版本: 被盗号了,作为死宅的我陷入了深深的恐惧(更新spso.sys是啥?)