这是一个创建于 45 天前的主题,其中的信息可能已经有所发展或是发生改变。
常年用火狐+uBlock Origin 屏蔽广告,今天访问一个网站,提示我有广告屏蔽插件
我就换了 chrome 访问,我的 chrome 是干净的,什么扩展都没装
但是他还是提示我安装了广告屏蔽插件,我就点了一下它的提示标语,跳到了一个网站,提示我执行
win+R
ctrl+v
enter
三部检验是否是机器人
我脑子一热,就执行了。等我反应过来,看了下他让我执行的东西,好家伙,开头就是 powershell.exe -W Hidden
然后从 finalstepgo.com 下载一个 xxx.txt ,保存起来,并且 iex 执行
这个网站 google 就直接提示“此网站可能会损害您的计算机。”了
然后我手动下载了 xxx.txt 里的内容,里面更可恶,下载一个 zip 包,解压 exe ,删除 zip 包,执行 exe ,并且把 exe 添加到'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
也不知道有什么后果,我就是傻逼
我就换了 chrome 访问,我的 chrome 是干净的,什么扩展都没装
但是他还是提示我安装了广告屏蔽插件,我就点了一下它的提示标语,跳到了一个网站,提示我执行
win+R
ctrl+v
enter
三部检验是否是机器人
我脑子一热,就执行了。等我反应过来,看了下他让我执行的东西,好家伙,开头就是 powershell.exe -W Hidden
然后从 finalstepgo.com 下载一个 xxx.txt ,保存起来,并且 iex 执行
这个网站 google 就直接提示“此网站可能会损害您的计算机。”了
然后我手动下载了 xxx.txt 里的内容,里面更可恶,下载一个 zip 包,解压 exe ,删除 zip 包,执行 exe ,并且把 exe 添加到'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
也不知道有什么后果,我就是傻逼
第 1 条附言 · 44 天前
重装中...想了一晚上,不放心简单删除,还是重装干净
从回复来看最近有不少这样的页面,大家引以为戒吧,是我蠢了
从回复来看最近有不少这样的页面,大家引以为戒吧,是我蠢了
80 条回复 • 2024-10-31 13:24:51 +08:00
 |
1
xJogger 45 天前  37
心态不对,一般遇见提示我装了广告屏蔽插件的网站,我心里想的都是:什么傻逼网站也配让我看广告。XD
|
 |
2
druggo 45 天前 1
建议重装系统
|
 |
3
hckisme 45 天前
可能要重装系统
|
 |
4
hhacker 45 天前 1
就这? 我还以为你是安装了 360 或者 wps 呢
|
 |
5
weijancc 45 天前
我之前的电脑因为下载软件中了毒, 解决方案是下载 360 进行杀毒, 效果还是不错的, 杀完毒后就把 360 卸载
|
 |
6
YGHMXFAL 45 天前 via Android
重装系统吧,别侥幸
|
 |
7
emberzhang 45 天前
遇到此类事情我直接恢复前一日系统镜像
|
 |
8
garywill 45 天前
把你访问的那个网站也发出来,让大家研究
|
|
9
garywill 45 天前
@emberzhang 这样只恢复 C 盘吧,其他盘可能仍藏有
|
 |
10
user23125 45 天前
之前回复过相关帖子,和你的情况一样: https://v2ex.com/t/1074197
|
 |
11
RoccoShi 45 天前
直接重装吧, 日后必有大患
|
 |
12
pkokp8 OP 1
哎,暂时删除了异常注册表字段,exe 文件
目前没有发现同名文件残留和注册表残留 不知道这个 win+r 拉起来的 exe 权限有多高,目前没有看到可疑进程和服务 正在备份重要文件和用火绒杀毒 搞完后等出异常再重做系统吧 希望大家引以为戒,不要网站让干啥就干啥。一般网站弹窗说请不要用 adb 类工具我都会对该网站禁用屏蔽插件的。因为这些网站的广告通常不刺眼,没想到这次这么可恶,诱导我后台执行 exe |
 |
15
fox0001 45 天前 via Android
Linux 用户路过……
|
 |
16
bugmakerxs 45 天前
胆子真大。。这种不丢虚拟机里跑
|
 |
17
cslive 45 天前 via Android
改密码,重装系统
|
 |
18
1423 45 天前
这跟执行 rm -rf / 以清理系统有啥区别?
|
 |
19
xclimbing 45 天前
脑袋一抽抽就给绕进去了。这时候就体现出了系统克隆或者还原的好处。
|
 |
20
yanqiyu 45 天前 via Android
最差的情况:这类脚本服务器可以精心设计保证在 shell 执行和浏览器下载给你不同的输出。
建议重装系统 |
 |
21
ysc3839 45 天前 via Android
建议重装系统。
如果是管理员用户,且 UAC 没有开到最高档的话,可以直接提权。 如果是管理员用户,且 UAC 开到了最高档,但是系统是 Win10 或者 Win11 ,在没有做过特殊处理的情况下,仍然有一个漏洞可以利用来提权。 |
 |
22
Nasei 45 天前
一个网站让你执行 win+r ,这个就很离谱了
|
 |
23
Puteulanus 45 天前
不是老哥,看你这个计算机水平,win+r 弹出来的时候还能反应不过来是啥?😂
|
 |
24
JiHuGeek 45 天前 via Android 1
对不起,我笑了,做这网站的真是人才
|
 |
25
csys 45 天前 2
前阵子看到这个 https://krebsonsecurity.com/2024/09/this-windows-powershell-phish-has-scary-potential/
我就纳闷 win+R ctrl+v enter 这种东西谁会上当啊 没想到还真有 某种“脑控” |
|
26
csys 45 天前 7
想到之前玩 wow 打战场,经常有人在聊天框打"按 Alt+F4 查看攻略"
然后就是一连串的 xxx 退出战场 |
|
27
pkokp8 OP @Puteulanus 当时想的是:这网站真是傻,连我有没有用 adb 都检测错误,一个 win+r 和浏览器毫无关系,我倒要看看能检查个啥?
执行完就很后悔😭😭😭😭 |
 |
28
yzkcy 45 天前
"HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"是自启动目录,你只是把落地的马删了,进程里的马清了吗?没清也没用,可能后面人家又一键维权了,建议重装。
|
 |
29
icyalala 45 天前 3
当然最坏的情况是它直接读了 chrome 本地密码列表并传走了。。。
|
 |
30
duzhuo 45 天前
啊 ?
|
 |
31
jinliming2 45 天前 via iPhone
@pkokp8 #12 权限的话,就是当前用户的权限,如果禁用了 UAC 警告的话,可以无提示自动提升为管理员,没禁用的话提权默认会弹警告,但如果有提权漏洞利用的话,也许也可以绕过 UAC 警告弹窗直接提权到管理员甚至更高。
|
 |
32
lc1450 45 天前 1
按 E 看大虫子层数😂
|
 |
33
ZRS 45 天前 1
前段时间见过,感慨这也有人上当...结果还真有
|
 |
34
ochatokori 45 天前 via Android
赶紧把登录过的网站都退出然后密码全改了,运行的那时候可能把你 cookie 偷光了
|
 |
35
ZhiyuanLin 45 天前 via iPhone 6
我猜大概率是黄网,大头被小头控制了。
|
 |
36
t6fEi5D1ON040096 45 天前 via iPhone
这就是用 Windows 最难受的地方,感觉到处倒是脏东西,只要不是大公司的软件,都会在你系统里拉屎,有时一星期能重装三次系统
|
 |
37
BEza5k2j7yew0VN9 45 天前
@V2thanks 有一个工具叫冰点还原,重启之后就很干净。
|
 |
38
masterjoess 45 天前
肉鸡+1
|
 |
39
chutsetien 45 天前
|
 |
40
hullhutt 45 天前 via Android
不会吧,连这种敏感性都没有?
没用过 win+r???????? |
 |
41
MYDB 44 天前
“我脑子一热,就执行了"
一定一定要重装,你手动结束的再快,能快过 cpu 的运算? |
|
42
MYDB 44 天前
可能文件名在 1μs 内就混淆成其他命名了
|
 |
43
petershaw22 44 天前 via iPhone 3
看标题还以为你被肛了
|
 |
44
iClass 44 天前 via Android
世界上没有傻逼 只有被逼 而你是 NB
|
 |
45
aladd 44 天前
噗~还是反诈强度不高~
|
 |
46
expy 44 天前
就算是普通用户也能把你文件全删了。
|
 |
47
agdhole 44 天前
这还不全盘格式化重装吗?到时候抄个币全偷了就乐了
|
 |
48
byasm32 44 天前
“来,运行它”
现在给人下马已经这么直接了吗。。。。还真有人照做啊。。 |
 |
50
alluofuyo 44 天前
木马落地了,恶心的就无限复制到各个隐秘的地方,一键就能复原的,怎么删都删不干净,还难找
|
 |
51
siweipancc 44 天前 via iPhone
提示让我关闭屏蔽插件的我都用屏蔽插件屏蔽这个提示:D
|
 |
52
chesha1 44 天前
要求关闭屏蔽广告插件很正常,比如下载 ios 应用脱壳的那个网站,毕竟人家托管那么多大文件要很多成本的,我就手动关一下
但是为什么要求你在本地执行一下操作还能反应不过来,太哈人了 |
 |
53
proxytoworld 44 天前
真有这么抽象的啊,我看到这种手法都是针对币圈的
|
 |
54
jqtmviyu 44 天前
花半天抹盘重装呗. 再下几个大厂的杀毒杀下.
|
 |
55
fateofheart 44 天前
只要你还有防火墙问题就不大,信息传不出去拿到手了也白搭
|
 |
56
batilo 44 天前
既然你已经不干净的,不如让大家都来玩玩???
|
 |
57
SiLenceControL 44 天前
发出来让大伙玩玩啊,macOS 老歌来折磨折磨他
|
|
58
pkokp8 OP @batilo
@SiLenceControL 啊?真想玩啊?自己注意 https://mag 访问这个网站会往 idownload.b-c 你的剪贴板里 dn.net/l 塞屎 azobin.html 会让你通过 powershell 下载 txt ,然后执行 txt 的内容,下载下面这个 https://fin 最后 alstepgo.co 解压 m/upl 执行的是这个 zipoads/il11.zip |
|
59
pkokp8 OP @proxytoworld 我倒是没有币,不过听你这么一说,我把电脑上的 ssh key 全部替换了一遍,ssh server 也关了
|
 |
60
kenvix 44 天前
@chutsetien #39 就算没申请 UAC 也只是无法进入内核、无法修改系统文件。用户级权限也够恶心一阵了
|
 |
61
abolast 44 天前
弱弱问一句,我系统锁 linux ,能不能安装个 wine 来运行它
|
 |
62
SunsetShimmer 44 天前 via Android
|
 |
63
Rorysky 44 天前
硬件已经收到了影响,记忆上的。得换
|
 |
64
hefish 44 天前
看了标题以为 op 被强奸了。。。
|
|
66
pkokp8 OP 这么多人劝重装,考虑了下,重装算了
哎,好多软件设置,也不知道如何备份,就不备份了 |
 |
67
Joming 44 天前
没事,现在微软绑 ID ,安装好系统登录账号直接就是激活的状态。
|
 |
68
lushangkan 44 天前
浏览器的密码和 cookie 估计都泄露了
|
 |
69
cgtx 44 天前
给我人看傻了,win+r 你都不思考一下是干啥的吗
|
 |
70
simo 44 天前 2
大家的焦点关注错了吧,难道不应该关心的是 你访问了什么网站?从什么途径知道这个网站的?
|
 |
71
coffeesun 44 天前
@emberzhang #7 每日做系统镜像是咋做的?还原点应该不行吧?
|
 |
74
oxykr 44 天前 via iPhone
别重装了,换电脑吧
|
|
75
emberzhang 43 天前 1
@coffeesun 我用的 macrium reflect ,windows 这种成熟的商业备份软件应该挺多吧
|
 |
76
jamesjammy061 42 天前
macOS 咋办
|
 |
78
Alcolfabar 35 天前
换密码吧。最近用这种手段投递的 Malware 大部分是#LummaStealer ,很大概率你的 cookies 和密码已经被打包偷走了
|
 |
79
ufan0 33 天前
@csys #26
“想到之前玩 wow 打战场,经常有人在聊天框打"按 Alt+F4 查看攻略" 然后就是一连串的 xxx 退出战场” --------------------- 好奇的我在浏览器按了下,现在是重新打开浏览器来回复了  |
 |
80
Lxmzfb43AC35PAkL 14 天前
十年前我就開始用套套, 套著才上网.
套套可以自己找一下. 真心. 用了以后, 就沒有再當當 format 机子了. |
Select Language