网吧环境出现WeGame登陆提示您的电脑感染了木马,暂时限制登陆以保护帐号

发布于 2020-08-01  1191 次阅读


发现问题,分析问题,解决问题-e诚大叔

那么就干脆借助这个事情来说下吧。

近期发现网吧客户机随机出现登入 wegame会提示有木马的问题,今天说的只是一个原因的,因为发现不是这样的环境下也有人反馈的,只是还没有远程看过的,因为要先找到有这样问题的机器,然后找到病毒,然后部署PM工具抓怎么来的。

1:发现问题

先说下现象吧,开机登入wegame就随机会出现如下图的情况,提示"您的电脑感染了木马,暂时限制登陆以保护帐号.请尝试重启客户端或者下载杀毒软件,重启电脑,修改密码重新登陆".然后这个机器重启下有可能就又正常了。

网吧环境出现WeGame登陆提示您的电脑感染了木马,暂时限制登陆以保护帐号  网吧木马 第1张

2:分析问题

昨天,也就是6.4号,QQ用户俺们划船不用桨给我找到了现象的机器,本来我是想给wegame的人远程看的,可是没有回我消息,毕竟找到这样的环境也是不容易的,平常都是重启掉的了,然后我就远程,现象看下面的视频,账号输入了到输入密码的地方就会提示木马了,鼠标放到输入地方就会提示。

这个时候我也没什么思路了,就问了下我们公司牛人,也就是打狗英雄(机器狗),我们都叫他老蒋,他让我下个腾讯的PC管家看看,结果真的查出来有木马,tgpcc.dll这个文件。

网吧环境出现WeGame登陆提示您的电脑感染了木马,暂时限制登陆以保护帐号  网吧木马 第2张

网吧环境出现WeGame登陆提示您的电脑感染了木马,暂时限制登陆以保护帐号  网吧木马 第3张

有这个木马的时候,键盘鼠标就好像不受控制的了,想去把这个木马改名字,操作不了,只选这个木马杀了就可以了,鼠标键盘也可以正常操作的了,不好操作的时候如下面的视屏。

https://v.qq.com/x/page/r0977jmmhnn.html

我把这个木马拿过来,在我内部的机器上,放在一样的目录下C:\Users\Administrator\AppData\Roaming里,然后打开wegame就一样提示木马的了。

既然找到了木马,那么就要查这个木马是怎么来的了,这个用户还是非常的配合,这里要表扬下,让他客户机上部署了PM(Procmon)工具,需要是开机就启动的,可以参考顺网小哥之前发的文章,下面的连接

http://www.cnit.net.cn/?id=551

部署好了,然后就在反复测试,开机就去登入wegame,看看有没有提示木马的,因为要有这样的才可以分析PM日志,开了30-40台机器没有出现,我让他耐心点,终于功夫不负有心人,出现了这样的机器,抓到了PM日志,首先查找tgpcc.dll名字,查到了他的PID是6788.

网吧环境出现WeGame登陆提示您的电脑感染了木马,暂时限制登陆以保护帐号  网吧木马 第4张

然后点进程树

网吧环境出现WeGame登陆提示您的电脑感染了木马,暂时限制登陆以保护帐号  网吧木马 第5张

3:解决问题

这个cnkc.exe是XX文化的,估计是有什么漏洞被病毒利用了,问用户说这个是最新的版本的,也不是破解版的。

网吧环境出现WeGame登陆提示您的电脑感染了木马,暂时限制登陆以保护帐号  网吧木马 第6张

具体原因不清楚,为了进一步验证,昨天下午5点多的时候先取消了文化软件的运行,到现在没有出现这样的问题。

目前来说,其他用户没有这个软件的也出现这样的问题,具体原因还不清楚,我的意思是也需要这样的去排查下。


一沙一世界,一花一天堂。君掌盛无边,刹那成永恒。