【明慧网2003年10月4日】我的机器也受到感染,按照10月1日说明的方法,使用安全模式查找清除文件,修改注册表,以及下载kill程序,这样重新启动机器后我以为没有任何问题了,进程中也看不到linxup,机器也查找不到任何相关的exe文件,但是我从www.sky.net.cn下载个人防火墙进行监控(绿色界面点击i字菜单),发现系统会动态启动向外连接一个服务叫:LSA Executable and server Dll( export version),向外尝试连接61.138.233.227(大陆IP)机器的1987端口,同时另外一个服务是:svch0st.exe,向外尝试连接61.138.233.227机器的8001端口,这两个连接不是常连接状态,一会儿连接一下,svch0st.exe进程表明运行程序是\winnt\system32\svch0st.exe 但是到下面却看不到该文件,看来是动态生成,尝试连接后自动删除,具体由哪个服务生成我也没有查找出来,以上尝试过程我把上网设备拔掉的情况下测试,如果简单把网卡disable,好像又不作向外连接的尝试,这样看来,这个木马程序不那么简单。根据10月1日的说明,svch0st.exe, fl.exe 都是木马程序,但是没有说明如何清除它们的步骤。由于木马程序可以进行的操作很多,所以我认为,该问题非常重要,为了避免严重后果,只有重新安装机器,才根本解决问题。
建议:所有中该木马的同修,加强发正念的同时,清除机器上的痕迹,备份重要资料,特别是名单之类的,务必清除,同时修改所有的密码等,改变网络联系方式(也可能监控邮件联系者等),过去的上网去稿(包括纸张材料)也不要保留,从这空间到另外空间,全面防护,全面清除,也不要慌张,目前尚无问题。
另外建议:网站的技术人员以及我们所有有关的学员,对这些事情找找各自修炼上的原因,是否时间久了起了做事心,学法、发正念松懈了?另外大家可以有针对性地发正念,清除可能带来的安全方面的损失。
由于有的别的大法弟子的网站有转载放光明的节目,请同修对xxx_merge.exe程序特别注意,xxx_Merge.exe 正常文件大小为30KB左右,凡是文件大小不正常的,尤其是90KB以上的,都是被感染的。请千万不要运行。
