V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  acess  ›  全部回复第 89 页 / 共 113 页
回复总数  2245
1 ... 85  86  87  88  89  90  91  92  93  94 ... 113  
2017-06-02 21:18:56 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
@xingchengo 应该是病毒无误,被叫做 Wdfload。网上已经能搜到分析了,行为差不多螚对上号。
2017-06-02 20:51:56 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
@xingchengo 再看看计划任务(比如用 Autoruns ),看上去是从计划任务自启的。
2017-06-02 20:49:37 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
@xingchengo 把这个 dll 传 VirusTotal 吧。
2017-06-02 20:21:30 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
@xingchengo 这个文件当然是 Windows 自己的……但 rundll32 只是个“容器”,里面是啥都能跑啊。你用 Process Monitor 看了么?是哪个进程启动 rundll32 的?参数?
2017-06-02 19:41:49 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
@restran rundll32.exe 又是哪来的呢?
2017-06-02 19:37:35 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
@restran 不知道你有没有在用 UEFI+GPT ?
如果没在用 UEFI+GPT,还是传统 BIOS+MBR 的话,建议你用 WinPE 启动,检查一下 MBR 和 PBR 代码是否正常。暗云木马就是在 MBR 里安家的(当然,一个扇区肯定装不下,在别的扇区有余下的部分)。系统启动时木马代码优先被执行,然后在内核里挂钩做手脚,有些 ARK 工具(比如 PCHunter )都被欺骗,查不到异常。
2017-06-02 19:34:16 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
@wevsty 有一阵子流行暗云木马的变种,一开始我用 360 的急救箱都完全没用(联网了)。后来跟他们反馈了一下,过了一阵子(也不知道和我的反馈有没有关系),他们更新了,就可以杀了,但是急救箱界面上仍然没扫到任何东西。
2017-06-02 19:30:16 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
@restran 我试过用 DoublePulsar 这个内核后门跑 meterpreter 木马……
用 Process Explorer 看,就是被注入的 lsass.exe 产生了 rundll32.exe,然后它又执行了 meterpreter ……
排查启动项可以用 Autoruns。如果怎么找都找不到自启在哪,也许人家在内核里做了手脚,把自己藏起来了;或者,人家已经在你电脑上装了 Bootkit,完全拿下了内核控制权……
2017-06-02 19:24:00 +08:00
回复了 nikoo 创建的主题 Bitcoin 转了一笔比特币,两天了都 Unconfirmed Transaction!,为什么?
我刚刚通过构造更高矿工费的“双花”成功把币拿回来了:
https://www.v2ex.com/t/365473
不知道算不算 Replace By Fee,看一些帖子说 RBF 是需要被替换的交易标记为允许 RBF 才行的,我好像没标记,但仍然成功了。
试了很多个途径去广播,包括 https://coinb.inhttps://blockchain.info/pushtx 等在线交易广播服务,还有本地钱包如 Electrum (换了几个服务器),还有 Bitcoin Core 自己。当时只有 Bitcoin Core 自己没报错,Electrum 和在线交易广播服务都提示拒绝接受。但最后居然成功了……
2017-06-02 19:07:16 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
@boter 我去,“双花”好像成功了😂我试了好几个途径去广播,不知道是哪个节点帮我广播出去的。
2017-06-02 18:44:31 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
能看见进程,也许只是幸运,没碰到技术太变态的;也可能只是冰山一角……
如果是进入内核运行的恶意代码,把自己完全藏起来是有可能的。远的不说,想想 DoublePulsar、暗云、谍影系列木马……
2017-06-02 18:20:13 +08:00
回复了 xingchengo 创建的主题 问与答 Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件
你需要重装系统了……
有兴趣的话,上传 VirusTotal。Process Monitor 的 Boot Logging 也可以帮你监控系统启动过程。
Process Monitor 直接勾选 Enable Boot Logging 可能会提示拒绝访问,你可以先保存一个 PML 文件,然后重启,再打开那个被保存的 PML 文件,这样 Process Monitor 就不会加载驱动,这个时候再勾选 Enable Boot Logging 就不会拒绝访问了。
2017-06-02 17:58:06 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
@boter 好像 RBF 也是要之前的交易标记允许才行的?
现在 BlockChain 上一直都有拿笔卡住的交易,新构造的交易则拒绝接受。
2017-06-02 14:46:58 +08:00
回复了 nathanw 创建的主题 Bitcoin 比特币平台相继恢复提币
这些交易所的价格立马涨上来了……立竿见影😂
反正我下东西时是尽量先验证数字签名或 hash 值的……
这个 V 站以前讨论过吧:
https://www.v2ex.com/t/222412
连死链接都能“解决”,“缓存过期”甚至“投毒”也许都不是太奇怪的事情吧……但迅雷他们估计也不傻,在用一些办法尽量校验。
2017-05-28 14:22:40 +08:00
回复了 nfroot 创建的主题 问与答 能否简单粗暴的说一下如何购买比特币转账给勒索者
@nfroot 被加密的私钥保存了吧?
万一……那家伙放出私钥了呢。
2017-05-24 16:09:51 +08:00
回复了 nfroot 创建的主题 问与答 能否简单粗暴的说一下如何购买比特币转账给勒索者
@nfroot 不知道情况怎么样了?有没有解密,或者……有没有看到对方给个回话?
2017-05-24 10:36:55 +08:00
回复了 nfroot 创建的主题 问与答 能否简单粗暴的说一下如何购买比特币转账给勒索者
@Clarencep WanaKiwi 扫私钥的机会因为 LZ 随手杀毒失去了(LZ 用的大概不是 32 位系统,所以也可能本来就没有这个机会),数据恢复他已经试过了……死马当活马医啊,没办法了。
2017-05-23 23:49:50 +08:00
回复了 nfroot 创建的主题 问与答 能否简单粗暴的说一下如何购买比特币转账给勒索者
1 ... 85  86  87  88  89  90  91  92  93  94 ... 113  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1253 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 27ms · UTC 17:37 · PVG 01:37 · LAX 09:37 · JFK 12:37
Developed with CodeLauncher
♥ Do have faith in what you're doing.