V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pkokp8
V2EX  ›  信息安全

我不干净了

  •  
  •   pkokp8 · 82 天前 · 11939 次点击
    这是一个创建于 82 天前的主题,其中的信息可能已经有所发展或是发生改变。
    常年用火狐+uBlock Origin 屏蔽广告,今天访问一个网站,提示我有广告屏蔽插件
    我就换了 chrome 访问,我的 chrome 是干净的,什么扩展都没装
    但是他还是提示我安装了广告屏蔽插件,我就点了一下它的提示标语,跳到了一个网站,提示我执行
    win+R
    ctrl+v
    enter
    三部检验是否是机器人

    我脑子一热,就执行了。等我反应过来,看了下他让我执行的东西,好家伙,开头就是 powershell.exe -W Hidden
    然后从 finalstepgo.com 下载一个 xxx.txt ,保存起来,并且 iex 执行
    这个网站 google 就直接提示“此网站可能会损害您的计算机。”了

    然后我手动下载了 xxx.txt 里的内容,里面更可恶,下载一个 zip 包,解压 exe ,删除 zip 包,执行 exe ,并且把 exe 添加到'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

    也不知道有什么后果,我就是傻逼
    第 1 条附言  ·  81 天前
    重装中...想了一晚上,不放心简单删除,还是重装干净
    从回复来看最近有不少这样的页面,大家引以为戒吧,是我蠢了
    80 条回复    2024-10-31 13:24:51 +08:00
    xJogger
        1
    xJogger  
       82 天前   ❤️ 37
    心态不对,一般遇见提示我装了广告屏蔽插件的网站,我心里想的都是:什么傻逼网站也配让我看广告。XD
    druggo
        2
    druggo  
       82 天前   ❤️ 1
    建议重装系统
    hckisme
        3
    hckisme  
       82 天前
    可能要重装系统
    hhacker
        4
    hhacker  
       82 天前   ❤️ 1
    就这? 我还以为你是安装了 360 或者 wps 呢
    weijancc
        5
    weijancc  
       82 天前
    我之前的电脑因为下载软件中了毒, 解决方案是下载 360 进行杀毒, 效果还是不错的, 杀完毒后就把 360 卸载
    YGHMXFAL
        6
    YGHMXFAL  
       82 天前 via Android
    重装系统吧,别侥幸
    emberzhang
        7
    emberzhang  
       82 天前
    遇到此类事情我直接恢复前一日系统镜像
    garywill
        8
    garywill  
       82 天前
    把你访问的那个网站也发出来,让大家研究
    garywill
        9
    garywill  
       82 天前
    @emberzhang 这样只恢复 C 盘吧,其他盘可能仍藏有
    user23125
        10
    user23125  
       82 天前
    之前回复过相关帖子,和你的情况一样: https://v2ex.com/t/1074197
    RoccoShi
        11
    RoccoShi  
       82 天前
    直接重装吧, 日后必有大患
    pkokp8
        12
    pkokp8  
    OP
       82 天前   ❤️ 1
    哎,暂时删除了异常注册表字段,exe 文件
    目前没有发现同名文件残留和注册表残留
    不知道这个 win+r 拉起来的 exe 权限有多高,目前没有看到可疑进程和服务
    正在备份重要文件和用火绒杀毒

    搞完后等出异常再重做系统吧
    希望大家引以为戒,不要网站让干啥就干啥。一般网站弹窗说请不要用 adb 类工具我都会对该网站禁用屏蔽插件的。因为这些网站的广告通常不刺眼,没想到这次这么可恶,诱导我后台执行 exe
    pkokp8
        13
    pkokp8  
    OP
       82 天前
    @user23125 奇怪,这个帖子我进不去,一直弹 cf 人机验证,切节点也没用
    pkokp8
        14
    pkokp8  
    OP
       82 天前
    @user23125 加上 www.就可以了。网站界面确实很像,但应该不是同一个作者。因为内容不一样
    fox0001
        15
    fox0001  
       82 天前 via Android
    Linux 用户路过……
    bugmakerxs
        16
    bugmakerxs  
       82 天前
    胆子真大。。这种不丢虚拟机里跑
    cslive
        17
    cslive  
       82 天前 via Android
    改密码,重装系统
    1423
        18
    1423  
       82 天前
    这跟执行 rm -rf / 以清理系统有啥区别?
    xclimbing
        19
    xclimbing  
       82 天前
    脑袋一抽抽就给绕进去了。这时候就体现出了系统克隆或者还原的好处。
    yanqiyu
        20
    yanqiyu  
       82 天前 via Android
    最差的情况:这类脚本服务器可以精心设计保证在 shell 执行和浏览器下载给你不同的输出。

    建议重装系统
    ysc3839
        21
    ysc3839  
       81 天前 via Android
    建议重装系统。
    如果是管理员用户,且 UAC 没有开到最高档的话,可以直接提权。
    如果是管理员用户,且 UAC 开到了最高档,但是系统是 Win10 或者 Win11 ,在没有做过特殊处理的情况下,仍然有一个漏洞可以利用来提权。
    Nasei
        22
    Nasei  
       81 天前
    一个网站让你执行 win+r ,这个就很离谱了
    Puteulanus
        23
    Puteulanus  
       81 天前
    不是老哥,看你这个计算机水平,win+r 弹出来的时候还能反应不过来是啥?😂
    JiHuGeek
        24
    JiHuGeek  
       81 天前 via Android   ❤️ 1
    对不起,我笑了,做这网站的真是人才
    csys
        25
    csys  
       81 天前   ❤️ 2
    前阵子看到这个 https://krebsonsecurity.com/2024/09/this-windows-powershell-phish-has-scary-potential/

    我就纳闷
    win+R
    ctrl+v
    enter
    这种东西谁会上当啊
    没想到还真有

    某种“脑控”
    csys
        26
    csys  
       81 天前   ❤️ 7
    想到之前玩 wow 打战场,经常有人在聊天框打"按 Alt+F4 查看攻略"
    然后就是一连串的 xxx 退出战场
    pkokp8
        27
    pkokp8  
    OP
       81 天前
    @Puteulanus 当时想的是:这网站真是傻,连我有没有用 adb 都检测错误,一个 win+r 和浏览器毫无关系,我倒要看看能检查个啥?
    执行完就很后悔😭😭😭😭
    yzkcy
        28
    yzkcy  
       81 天前
    "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"是自启动目录,你只是把落地的马删了,进程里的马清了吗?没清也没用,可能后面人家又一键维权了,建议重装。
    icyalala
        29
    icyalala  
       81 天前   ❤️ 3
    当然最坏的情况是它直接读了 chrome 本地密码列表并传走了。。。
    duzhuo
        30
    duzhuo  
       81 天前
    啊 ?
    jinliming2
        31
    jinliming2  
       81 天前 via iPhone
    @pkokp8 #12 权限的话,就是当前用户的权限,如果禁用了 UAC 警告的话,可以无提示自动提升为管理员,没禁用的话提权默认会弹警告,但如果有提权漏洞利用的话,也许也可以绕过 UAC 警告弹窗直接提权到管理员甚至更高。
    lc1450
        32
    lc1450  
       81 天前   ❤️ 1
    按 E 看大虫子层数😂
    ZRS
        33
    ZRS  
       81 天前   ❤️ 1
    前段时间见过,感慨这也有人上当...结果还真有
    ochatokori
        34
    ochatokori  
       81 天前 via Android
    赶紧把登录过的网站都退出然后密码全改了,运行的那时候可能把你 cookie 偷光了
    ZhiyuanLin
        35
    ZhiyuanLin  
       81 天前 via iPhone   ❤️ 6
    我猜大概率是黄网,大头被小头控制了。
    t6fEi5D1ON040096
        36
    t6fEi5D1ON040096  
       81 天前 via iPhone
    这就是用 Windows 最难受的地方,感觉到处倒是脏东西,只要不是大公司的软件,都会在你系统里拉屎,有时一星期能重装三次系统
    BEza5k2j7yew0VN9
        37
    BEza5k2j7yew0VN9  
       81 天前
    @V2thanks 有一个工具叫冰点还原,重启之后就很干净。
    masterjoess
        38
    masterjoess  
       81 天前
    肉鸡+1
    chutsetien
        39
    chutsetien  
       81 天前
    @pkokp8

    > 不知道这个 win+r 拉起来的 exe 权限有多高

    如果你是管理员的话,你会看到这样一句话:


    就这么高~
    hullhutt
        40
    hullhutt  
       81 天前 via Android
    不会吧,连这种敏感性都没有?
    没用过 win+r????????
    MYDB
        41
    MYDB  
       81 天前
    “我脑子一热,就执行了"

    一定一定要重装,你手动结束的再快,能快过 cpu 的运算?
    MYDB
        42
    MYDB  
       81 天前
    可能文件名在 1μs 内就混淆成其他命名了
    petershaw22
        43
    petershaw22  
       81 天前 via iPhone   ❤️ 3
    看标题还以为你被肛了
    iClass
        44
    iClass  
       81 天前 via Android
    世界上没有傻逼 只有被逼 而你是 NB
    aladd
        45
    aladd  
       81 天前
    噗~还是反诈强度不高~
    expy
        46
    expy  
       81 天前
    就算是普通用户也能把你文件全删了。
    agdhole
        47
    agdhole  
       81 天前
    这还不全盘格式化重装吗?到时候抄个币全偷了就乐了
    byasm32
        48
    byasm32  
       81 天前
    “来,运行它”
    现在给人下马已经这么直接了吗。。。。还真有人照做啊。。
    exiahan
        49
    exiahan  
       81 天前 via Android
    @ZRS 哈哈哈哈哈我也想到这个了🤣

    不过有一说一,楼主重装系统吧,以防万一。
    alluofuyo
        50
    alluofuyo  
       81 天前
    木马落地了,恶心的就无限复制到各个隐秘的地方,一键就能复原的,怎么删都删不干净,还难找
    siweipancc
        51
    siweipancc  
       81 天前 via iPhone
    提示让我关闭屏蔽插件的我都用屏蔽插件屏蔽这个提示:D
    chesha1
        52
    chesha1  
       81 天前
    要求关闭屏蔽广告插件很正常,比如下载 ios 应用脱壳的那个网站,毕竟人家托管那么多大文件要很多成本的,我就手动关一下

    但是为什么要求你在本地执行一下操作还能反应不过来,太哈人了
    proxytoworld
        53
    proxytoworld  
       81 天前
    真有这么抽象的啊,我看到这种手法都是针对币圈的
    jqtmviyu
        54
    jqtmviyu  
       81 天前
    花半天抹盘重装呗. 再下几个大厂的杀毒杀下.
    fateofheart
        55
    fateofheart  
       81 天前
    只要你还有防火墙问题就不大,信息传不出去拿到手了也白搭
    batilo
        56
    batilo  
       81 天前
    既然你已经不干净的,不如让大家都来玩玩???
    SiLenceControL
        57
    SiLenceControL  
       81 天前
    发出来让大伙玩玩啊,macOS 老歌来折磨折磨他
    pkokp8
        58
    pkokp8  
    OP
       81 天前
    @batilo
    @SiLenceControL
    啊?真想玩啊?自己注意
    https://mag 访问这个网站会往 idownload.b-c 你的剪贴板里 dn.net/l 塞屎 azobin.html
    会让你通过 powershell 下载 txt ,然后执行 txt 的内容,下载下面这个
    https://fin 最后 alstepgo.co 解压 m/upl 执行的是这个 zipoads/il11.zip
    pkokp8
        59
    pkokp8  
    OP
       81 天前
    @proxytoworld 我倒是没有币,不过听你这么一说,我把电脑上的 ssh key 全部替换了一遍,ssh server 也关了
    kenvix
        60
    kenvix  
       81 天前
    @chutsetien #39 就算没申请 UAC 也只是无法进入内核、无法修改系统文件。用户级权限也够恶心一阵了
    abolast
        61
    abolast  
       81 天前
    弱弱问一句,我系统锁 linux ,能不能安装个 wine 来运行它
    Rorysky
        63
    Rorysky  
       81 天前
    硬件已经收到了影响,记忆上的。得换
    hefish
        64
    hefish  
       81 天前
    看了标题以为 op 被强奸了。。。
    pkokp8
        65
    pkokp8  
    OP
       81 天前
    @Rorysky 啊?
    pkokp8
        66
    pkokp8  
    OP
       81 天前
    这么多人劝重装,考虑了下,重装算了
    哎,好多软件设置,也不知道如何备份,就不备份了
    Joming
        67
    Joming  
       81 天前
    没事,现在微软绑 ID ,安装好系统登录账号直接就是激活的状态。
    lushangkan
        68
    lushangkan  
       81 天前
    浏览器的密码和 cookie 估计都泄露了
    cgtx
        69
    cgtx  
       81 天前
    给我人看傻了,win+r 你都不思考一下是干啥的吗
    simo
        70
    simo  
       81 天前   ❤️ 2
    大家的焦点关注错了吧,难道不应该关心的是 你访问了什么网站?从什么途径知道这个网站的?
    coffeesun
        71
    coffeesun  
       81 天前
    @emberzhang #7 每日做系统镜像是咋做的?还原点应该不行吧?
    ddddd0
        72
    ddddd0  
       80 天前
    @icyalala chrome 的 password manager 是不是云端保存而且加密的
    iX8NEGGn
        73
    iX8NEGGn  
       80 天前   ❤️ 1
    @coffeesun 支持增量热备份的备份软件就行,我的系统盘每天花十多分钟在后台执行增量热备份,软件名懒得说了,说太多有打广告嫌疑。
    oxykr
        74
    oxykr  
       80 天前 via iPhone
    别重装了,换电脑吧
    emberzhang
        75
    emberzhang  
       80 天前   ❤️ 1
    @coffeesun 我用的 macrium reflect ,windows 这种成熟的商业备份软件应该挺多吧
    jamesjammy061
        76
    jamesjammy061  
       79 天前
    macOS 咋办
    zbowen66
        77
    zbowen66  
       76 天前
    @csys #25 还有个知名程序员 sorrycc 被引导安装了第三方系统证书,就离谱
    Alcolfabar
        78
    Alcolfabar  
       71 天前
    换密码吧。最近用这种手段投递的 Malware 大部分是#LummaStealer ,很大概率你的 cookies 和密码已经被打包偷走了
    ufan0
        79
    ufan0  
       70 天前
    @csys #26

    “想到之前玩 wow 打战场,经常有人在聊天框打"按 Alt+F4 查看攻略"
    然后就是一连串的 xxx 退出战场”

    ---------------------

    好奇的我在浏览器按了下,现在是重新打开浏览器来回复了
    Lxmzfb43AC35PAkL
        80
    Lxmzfb43AC35PAkL  
       51 天前
    十年前我就開始用套套, 套著才上网.

    套套可以自己找一下.

    真心. 用了以后, 就沒有再當當 format 机子了.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2746 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 14:29 · PVG 22:29 · LAX 06:29 · JFK 09:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.