这是一个创建于 375 天前的主题,其中的信息可能已经有所发展或是发生改变。
常年用火狐+uBlock Origin 屏蔽广告,今天访问一个网站,提示我有广告屏蔽插件
我就换了 chrome 访问,我的 chrome 是干净的,什么扩展都没装
但是他还是提示我安装了广告屏蔽插件,我就点了一下它的提示标语,跳到了一个网站,提示我执行
win+R
ctrl+v
enter
三部检验是否是机器人
我脑子一热,就执行了。等我反应过来,看了下他让我执行的东西,好家伙,开头就是 powershell.exe -W Hidden
然后从 finalstepgo.com 下载一个 xxx.txt ,保存起来,并且 iex 执行
这个网站 google 就直接提示“此网站可能会损害您的计算机。”了
然后我手动下载了 xxx.txt 里的内容,里面更可恶,下载一个 zip 包,解压 exe ,删除 zip 包,执行 exe ,并且把 exe 添加到'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
也不知道有什么后果,我就是傻逼
我就换了 chrome 访问,我的 chrome 是干净的,什么扩展都没装
但是他还是提示我安装了广告屏蔽插件,我就点了一下它的提示标语,跳到了一个网站,提示我执行
win+R
ctrl+v
enter
三部检验是否是机器人
我脑子一热,就执行了。等我反应过来,看了下他让我执行的东西,好家伙,开头就是 powershell.exe -W Hidden
然后从 finalstepgo.com 下载一个 xxx.txt ,保存起来,并且 iex 执行
这个网站 google 就直接提示“此网站可能会损害您的计算机。”了
然后我手动下载了 xxx.txt 里的内容,里面更可恶,下载一个 zip 包,解压 exe ,删除 zip 包,执行 exe ,并且把 exe 添加到'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
也不知道有什么后果,我就是傻逼
第 1 条附言 2024-10-01 18:50:13 +08:00
重装中...想了一晚上,不放心简单删除,还是重装干净
从回复来看最近有不少这样的页面,大家引以为戒吧,是我蠢了
从回复来看最近有不少这样的页面,大家引以为戒吧,是我蠢了
80 条回复 2024-10-31 13:24:51 +08:00
 | 1 xJogger 2024-09-30 19:40:48 +08:00  37 心态不对,一般遇见提示我装了广告屏蔽插件的网站,我心里想的都是:什么傻逼网站也配让我看广告。XD |
 | 2 druggo 2024-09-30 19:40:55 +08:00 1 建议重装系统 |
 | 3 hckisme 2024-09-30 19:41:36 +08:00 可能要重装系统 |
 | 4 hhacker 2024-09-30 19:41:45 +08:00 1 就这? 我还以为你是安装了 360 或者 wps 呢 |
 | 5 weijancc 2024-09-30 19:43:26 +08:00 我之前的电脑因为下载软件中了毒, 解决方案是下载 360 进行杀毒, 效果还是不错的, 杀完毒后就把 360 卸载 |
 | 6 YGHMXFAL 2024-09-30 19:49:28 +08:00 via Android 重装系统吧,别侥幸 |
 | 7 emberzhang 2024-09-30 19:51:40 +08:00 遇到此类事情我直接恢复前一日系统镜像 |
 | 8 garywill 2024-09-30 20:05:50 +08:00 把你访问的那个网站也发出来,让大家研究 |
| 9 garywill 2024-09-30 20:06:23 +08:00 @emberzhang 这样只恢复 C 盘吧,其他盘可能仍藏有 |
 | 10 Lshl56B4vDqdixwK 2024-09-30 20:09:28 +08:00 之前回复过相关帖子,和你的情况一样: https://v2ex.com/t/1074197 |
 | 11 RoccoShi 2024-09-30 20:10:18 +08:00 直接重装吧, 日后必有大患 |
 | 12 pkokp8 OP 1 哎,暂时删除了异常注册表字段,exe 文件 目前没有发现同名文件残留和注册表残留 不知道这个 win+r 拉起来的 exe 权限有多高,目前没有看到可疑进程和服务 正在备份重要文件和用火绒杀毒 搞完后等出异常再重做系统吧 希望大家引以为戒,不要网站让干啥就干啥。一般网站弹窗说请不要用 adb 类工具我都会对该网站禁用屏蔽插件的。因为这些网站的广告通常不刺眼,没想到这次这么可恶,诱导我后台执行 exe |
 | 15 fox0001 2024-09-30 20:28:59 +08:00 via Android Linux 用户路过…… |
 | 16 bugmakerxs 2024-09-30 20:29:13 +08:00 胆子真大。。这种不丢虚拟机里跑 |
 | 17 cslive 2024-09-30 21:09:39 +08:00 via Android 改密码,重装系统 |
 | 18 slowman 2024-09-30 21:11:16 +08:00 这跟执行 rm -rf / 以清理系统有啥区别? |
 | 19 xclimbing 2024-09-30 21:12:01 +08:00 脑袋一抽抽就给绕进去了。这时候就体现出了系统克隆或者还原的好处。 |
 | 20 yanqiyu 2024-09-30 21:46:35 +08:00 via Android 最差的情况:这类脚本服务器可以精心设计保证在 shell 执行和浏览器下载给你不同的输出。 建议重装系统 |
 | 21 ysc3839 2024-09-30 22:30:28 +08:00 via Android 建议重装系统。 如果是管理员用户,且 UAC 没有开到最高档的话,可以直接提权。 如果是管理员用户,且 UAC 开到了最高档,但是系统是 Win10 或者 Win11 ,在没有做过特殊处理的情况下,仍然有一个漏洞可以利用来提权。 |
 | 22 Nasei 2024-09-30 22:41:17 +08:00 一个网站让你执行 win+r ,这个就很离谱了 |
 | 23 Puteulanus 2024-09-30 22:47:18 +08:00 不是老哥,看你这个计算机水平,win+r 弹出来的时候还能反应不过来是啥? |
 | 24 JiHuGeek 2024-09-30 22:49:27 +08:00 via Android 1 对不起,我笑了,做这网站的真是人才 |
 | 25 csys 2024-09-30 22:50:01 +08:00 2 前阵子看到这个 https://krebsonsecurity.com/2024/09/this-windows-powershell-phish-has-scary-potential/ 我就纳闷 win+R ctrl+v enter 这种东西谁会上当啊 没想到还真有 某种“脑控” |
| 26 csys 2024-09-30 22:51:31 +08:00 7 想到之前玩 wow 打战场,经常有人在聊天框打"按 Alt+F4 查看攻略" 然后就是一连串的 xxx 退出战场 |
| 27 pkokp8 OP @Puteulanus 当时想的是:这网站真是傻,连我有没有用 adb 都检测错误,一个 win+r 和浏览器毫无关系,我倒要看看能检查个啥? 执行完就很后悔 |
 | 28 lorryo 2024-09-30 22:56:03 +08:00 "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"是自启动目录,你只是把落地的马删了,进程里的马清了吗?没清也没用,可能后面人家又一键维权了,建议重装。 |
 | 29 icyalala 2024-09-30 23:07:00 +08:00 3 当然最坏的情况是它直接读了 chrome 本地密码列表并传走了。。。 |
 | 30 duzhuo 2024-09-30 23:10:55 +08:00 啊 ? |
 | 31 jinliming2 2024-09-30 23:36:40 +08:00 via iPhone @pkokp8 #12 权限的话,就是当前用户的权限,如果禁用了 UAC 警告的话,可以无提示自动提升为管理员,没禁用的话提权默认会弹警告,但如果有提权漏洞利用的话,也许也可以绕过 UAC 警告弹窗直接提权到管理员甚至更高。 |
 | 32 atx 2024-10-01 00:19:53 +08:00 1 按 E 看大虫子层数 |
 | 33 ZRS 2024-10-01 00:23:01 +08:00 1 前段时间见过,感慨这也有人上当...结果还真有 |
 | 34 ochatokori 2024-10-01 00:29:03 +08:00 via Android 赶紧把登录过的网站都退出然后密码全改了,运行的那时候可能把你 cookie 偷光了 |
 | 35 6 我猜大概率是黄网,大头被小头控制了。 |
 | 36 t6fEi5D1ON040096 2024-10-01 02:39:22 +08:00 via iPhone 这就是用 Windows 最难受的地方,感觉到处倒是脏东西,只要不是大公司的软件,都会在你系统里拉屎,有时一星期能重装三次系统 |
 | 37 BEza5k2j7yew0VN9 2024-10-01 02:56:14 +08:00 @V2thanks 有一个工具叫冰点还原,重启之后就很干净。 |
 | 38 masterjoess 2024-10-01 03:05:01 +08:00 肉鸡+1 |
 | 39 chutsetien 2024-10-01 03:23:13 +08:00 |
 | 40 hullhutt 2024-10-01 04:07:40 +08:00 via Android 不会吧,连这种敏感性都没有? 没用过 win+r???????? |
 | 41 MYDB 2024-10-01 06:25:32 +08:00 “我脑子一热,就执行了" 一定一定要重装,你手动结束的再快,能快过 cpu 的运算? |
| 42 MYDB 2024-10-01 06:26:58 +08:00 可能文件名在 1μs 内就混淆成其他命名了 |
 | 43 petershaw22 2024-10-01 06:43:32 +08:00 via iPhone 3 看标题还以为你被肛了 |
 | 44 iClass 2024-10-01 09:29:47 +08:00 via Android 世界上没有傻逼 只有被逼 而你是 NB |
 | 45 aladd 2024-10-01 09:54:52 +08:00 噗~还是反诈强度不高~ |
 | 46 expy 2024-10-01 10:22:36 +08:00 就算是普通用户也能把你文件全删了。 |
 | 47 agdhole 2024-10-01 11:40:09 +08:00 这还不全盘格式化重装吗?到时候抄个币全偷了就乐了 |
 | 48 byasm32 2024-10-01 11:43:51 +08:00 “来,运行它” 现在给人下马已经这么直接了吗。。。。还真有人照做啊。。 |
 | 50 alluofuyo 2024-10-01 11:53:20 +08:00 木马落地了,恶心的就无限复制到各个隐秘的地方,一键就能复原的,怎么删都删不干净,还难找 |
 | 51 siweipancc 2024-10-01 12:04:10 +08:00 via iPhone 提示让我关闭屏蔽插件的我都用屏蔽插件屏蔽这个提示:D |
 | 52 FlashEcho 2024-10-01 12:21:29 +08:00 要求关闭屏蔽广告插件很正常,比如下载 ios 应用脱壳的那个网站,毕竟人家托管那么多大文件要很多成本的,我就手动关一下 但是为什么要求你在本地执行一下操作还能反应不过来,太哈人了 |
 | 53 proxytoworld 2024-10-01 12:30:48 +08:00 真有这么抽象的啊,我看到这种手法都是针对币圈的 |
 | 54 jqtmviyu 2024-10-01 12:37:09 +08:00 花半天抹盘重装呗. 再下几个大厂的杀毒杀下. |
 | 55 fateofheart 2024-10-01 12:39:21 +08:00 只要你还有防火墙问题就不大,信息传不出去拿到手了也白搭 |
 | 56 batilo 2024-10-01 13:50:34 +08:00 既然你已经不干净的,不如让大家都来玩玩??? |
 | 57 SiLenceControL 2024-10-01 14:04:08 +08:00 发出来让大伙玩玩啊,macOS 老歌来折磨折磨他 |
| 58 pkokp8 OP @batilo @SiLenceControL 啊?真想玩啊?自己注意 https://mag 访问这个网站会往 idownload.b-c 你的剪贴板里 dn.net/l 塞屎 azobin.html 会让你通过 powershell 下载 txt ,然后执行 txt 的内容,下载下面这个 https://fin 最后 alstepgo.co 解压 m/upl 执行的是这个 zipoads/il11.zip |
| 59 pkokp8 OP @proxytoworld 我倒是没有币,不过听你这么一说,我把电脑上的 ssh key 全部替换了一遍,ssh server 也关了 |
 | 60 kenvix 2024-10-01 14:19:58 +08:00 @chutsetien #39 就算没申请 UAC 也只是无法进入内核、无法修改系统文件。用户级权限也够恶心一阵了 |
 | 61 abolast 2024-10-01 14:20:47 +08:00 弱弱问一句,我系统锁 linux ,能不能安装个 wine 来运行它 |
 | 62 SunsetShimmer 2024-10-01 15:32:42 +08:00 via Android |
 | 63 Rorysky 2024-10-01 16:45:31 +08:00 硬件已经收到了影响,记忆上的。得换 |
 | 64 hefish 2024-10-01 16:55:15 +08:00 看了标题以为 op 被强奸了。。。 |
| 66 pkokp8 OP 这么多人劝重装,考虑了下,重装算了 哎,好多软件设置,也不知道如何备份,就不备份了 |
 | 67 Joming 2024-10-01 17:22:14 +08:00 没事,现在微软绑 ID ,安装好系统登录账号直接就是激活的状态。 |
 | 68 lushangkan 2024-10-01 17:35:44 +08:00 浏览器的密码和 cookie 估计都泄露了 |
 | 69 cgtx 2024-10-01 18:49:58 +08:00 给我人看傻了,win+r 你都不思考一下是干啥的吗 |
 | 70 simo 2024-10-01 20:31:00 +08:00 2 大家的焦点关注错了吧,难道不应该关心的是 你访问了什么网站?从什么途径知道这个网站的? |
 | 71 coffeesun 2024-10-01 21:21:55 +08:00 @emberzhang #7 每日做系统镜像是咋做的?还原点应该不行吧? |
 | 73 iX8NEGGn 2024-10-02 00:59:56 +08:00 1 @coffeesun 支持增量热备份的备份软件就行,我的系统盘每天花十多分钟在后台执行增量热备份,软件名懒得说了,说太多有打广告嫌疑。 |
 | 74 oxykr 2024-10-02 02:30:22 +08:00 via iPhone 别重装了,换电脑吧 |
| 75 emberzhang 2024-10-02 10:45:09 +08:00 1 @coffeesun 我用的 macrium reflect ,windows 这种成熟的商业备份软件应该挺多吧 |
 | 76 jamesjammy061 2024-10-03 21:55:08 +08:00 macOS 咋办 |
 | 78 Alcolfabar 364 天前 换密码吧。最近用这种手段投递的 Malware 大部分是#LummaStealer ,很大概率你的 cookies 和密码已经被打包偷走了 |
 | 79 ufan0 363 天前 @csys #26 “想到之前玩 wow 打战场,经常有人在聊天框打"按 Alt+F4 查看攻略" 然后就是一连串的 xxx 退出战场” --------------------- 好奇的我在浏览器按了下,现在是重新打开浏览器来回复了  |
 | 80 Lxmzfb43AC35PAkL 344 天前 十年前我就始用套套, 套著才上网. 套套可以自己找一下. 真心. 用了以后, 就有再 format 机子了. |
Select Language