V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
runking
V2EX  ›  微软

系统是不是中毒了?

  •  
  •   runking · 2018-12-13 22:05:56 +08:00 · 3231 次点击
    这是一个创建于 2178 天前的主题,其中的信息可能已经有所发展或是发生改变。

    每次启动时,C 盘根目录下生成两个随机名字的文件夹,权限是管理员的,而且还是隐藏的

    大概是这样的:setup547、Zuser396(每次重启进行换名字)

    装有火绒,全盘查杀了下没有发现问题

    两个文件夹内分别是随机名字的 10 个文件类型的文件

    setup547 文件夹下 10 个文件为:

    4nmchZf8wFf1aVJG.xlsx

    37lW1l.doc

    bRxnS0os8eR0QHJZk.rtf

    fCsSHuq4d.docx

    iha5EkDH7UkkXvom8n.xls

    l1K4V.jpg

    t90kLMKs6nFw.txt

    Tnoc7aR3NB.mdb

    Tsgdf2T.sql

    YHwHFNpyE.pem

    Zuser396 文件夹下 10 个文件为:

    1ckScuHGPIUTfBLtStr.docx

    4IRd1U.mdb

    5Ohe7reTFYYgOluCMqa.xlsx

    B9biW.doc

    gkhaeDCEmUl.rtf

    gOS0XTIKf45.pem

    jpZ2GgOo8cvHsxr.xls

    KuUrGc2snMxoZ.sql

    vIVyYWF.txt

    yEtGhByKerJSs3D2bM.jpg

    16 条回复    2018-12-14 15:09:25 +08:00
    runking
        1
    runking  
    OP
       2018-12-13 22:08:49 +08:00
    这次重启 两个文件夹的名字为:program380、Ztool497,两个文件夹内文件还是分别 10 个,名字变了。
    Cytion
        2
    Cytion  
       2018-12-13 22:20:06 +08:00 via Android
    你是不是装火绒了
    processzzp
        3
    processzzp  
       2018-12-13 22:23:01 +08:00 via iPhone   ❤️ 4
    看样子像是火绒的勒索软件诱捕功能。
    runking
        4
    runking  
    OP
       2018-12-13 22:23:26 +08:00
    @Cytion 就是有火绒啊
    runking
        5
    runking  
    OP
       2018-12-13 22:25:18 +08:00
    @Cytion
    @processzzp
    果然是火绒
    jasonyang9
        6
    jasonyang9  
       2018-12-13 22:25:56 +08:00 via Android
    是不是装过 RansomWare Free ?
    Tink
        7
    Tink  
       2018-12-13 22:34:29 +08:00 via iPhone
    这个和火绒有啥关系
    cherbim
        8
    cherbim  
       2018-12-13 22:35:20 +08:00 via iPhone   ❤️ 3
    这是火绒的钓鱼执法官……
    假装 user,setup,data 等文件夹(一般勒索病毒喜欢盯着这些文件夹),内含各种格式“重要文件”,坐等病毒上门
    cherbim
        9
    cherbim  
       2018-12-13 22:37:49 +08:00 via iPhone   ❤️ 1
    @Tink 火绒一个诱捕勒索病毒功能……就是生成一堆勒索病毒重点关注的文件夹,一旦这些文件被访问,说明有病毒上钩了……
    Tink
        10
    Tink  
       2018-12-13 22:39:21 +08:00 via iPhone
    @cherbim #9 这个厉害了
    silhouette
        11
    silhouette  
       2018-12-13 23:01:10 +08:00 via Android
    有点东西
    boris1993
        12
    boris1993  
       2018-12-13 23:43:16 +08:00 via Android
    hhhhhh 火绒钓鱼执法还行
    Trumeet
        13
    Trumeet  
       2018-12-13 23:55:07 +08:00 via Android
    想起了以前也出现过,当时吓坏了,还以为是病毒。。最后整了半天,忘记装没装火绒了,可能是它的锅
    cxh2000210
        14
    cxh2000210  
       2018-12-14 07:54:25 +08:00 via Android
    钓鱼执法还行,不过这个钓法也不错(
    lianggexp
        15
    lianggexp  
       2018-12-14 08:14:51 +08:00 via iPhone
    @cherbim 最后发现都是 explorer.exe 在访问这些文件🌚
    etnperlong
        16
    etnperlong  
       2018-12-14 15:09:25 +08:00
    火绒钓鱼执法可还行哈哈哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2141 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 00:25 · PVG 08:25 · LAX 16:25 · JFK 19:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.