作者zxvc (众生都是未来佛)
看板AntiVirus
标题[讨论] Windows 10 1703被骇
时间Wed May 24 12:13:30 2017
个人一向的习惯不喜欢装防毒软体(怕影响效能),
不乱载程式,定期更新Windows。
(目前的OS是Windows 10 x64 1703 build 15036.296。)
已这样作好一段时间了,但不幸的昨晚破功了。
昨晚在远端桌面到我的Win 10 PC时,发现居然无法登入,
而是显示已有一个IIS_USER的帐号已登入了。
後来想用Intel AMT的管理介面登入救援,
但使用OpenMDTK:
http://www.meshcommander.com/open-manageability
的Manageability Commander Tool却无法登入。
web登入介面可以开启,但输入帐密也无法登入。
但奇怪的是我回到本机PC操作,开机按Ctrl+P後,使用原密码却可以登入!
又奇怪的是当我在Windows 10要装防毒软体时,
居然有人用AMT的VNC连到我的电脑!(因为有人连进来,萤幕会闪一个框)
当下我开notepad,输入:
How do you crack my computer?
Please tell me.
那个人就切断VNC连线。
话说我还用Event Viewer查了一下IIS_USER的登入IP,来自台湾:
123.51.185.113
目前我在救援我的电脑,装了Kaspersky,抓到一些trojan。
还发现骇客在我电脑装了一些骇客工具:
https://github.com/gentilkiwi/mimikatz
目前是用Kaspersky作完整扫描中...
但目前有一未解问题,
就是只要Windows重开机後IIS_USER这个骇客建的帐号就会自动还原,
而且是管理者身分!请问有没有人知道除了重灌的解法?T.T
--
楞严咒(附注音):
http://1drv.ms/1c0YbNt
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.115.73.148
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495599215.A.6BE.html
※ 编辑: zxvc (140.115.73.148), 05/24/2017 12:16:00
1F:推 greg7575: 拜托你直接重灌 05/24 12:33
2F:推 xingwhitecat: 很可怕的病毒哈哈哈 05/24 12:38
3F:推 pi2324: 之前用vpn被try一气之下把所有远端的东西都给关了。网路无 05/24 12:39
4F:→ pi2324: 安全 05/24 12:39
5F:推 p72910: 有ip就可以提告了 05/24 12:43
6F:→ zxvc: 谢谢g大建议,不过重灌前研究一下骇客入侵所留下的线索也满 05/24 12:43
7F:→ zxvc: 有用的。像我进一步查出,骇客应该是利用AMT入侵的,我发现 05/24 12:44
8F:→ zxvc: AMT被建了一些帐号,比如admon, user2。 05/24 12:45
9F:→ zxvc: 目前只好关闭AMT囧 05/24 12:46
10F:→ zxvc: 骇客似乎没骇进我的Windows帐号,所以才建了一个IIS_USER帐 05/24 12:48
11F:→ zxvc: 号,但他是怎麽建的?不然我认为只要有人在我电脑前就能用相 05/24 12:49
12F:→ zxvc: 同手法(等同用AMT)建帐号囧 05/24 12:49
14F:→ zxvc: 谢谢p大。 05/24 12:52
15F:→ zxvc: Kaspersky扫描看来解不了IIS_USER帐号问题,只好重灌了T.T 05/24 12:57
16F:推 junorn: 123.51.185.113我这边查是对岸那边的IP? 05/24 13:45
18F:→ belion: 重+用一个中间的的媒介上网,好比有防火墙功能的ip分享器 05/24 15:54
19F:→ belion: 重灌+ 05/24 15:55
20F:→ KevinYu0504: 123.51.185.113 我查了之後是远传,速博,新世纪资通 05/24 16:36
21F:→ KevinYu0504: 旗下的网域。 05/24 16:36
22F:推 joygreentea: 所以这个漏洞就只能关远端了吗?还是已经有更新包修 05/24 16:53
23F:→ joygreentea: 补了? 05/24 16:53
25F:→ zxvc: 谢谢p大。但我还是有个疑惑,我的AMT密码与Windows密码不同 05/24 17:20
26F:→ zxvc: 。AMT如果先被破了,Windows应该没那麽轻易被破!? 05/24 17:21
27F:→ zxvc: 骇客似乎不知我Windows密码,才另建一个IIS_USER管理者帐号 05/24 17:22
28F:→ HELLDIVER: IP应该是香港那边 05/24 17:23
29F:→ zxvc: ,再装mimikatz骇客工具想破我的Windows密码!? 05/24 17:23
30F:→ HELLDIVER: 更正 广东 05/24 17:25
31F:→ zxvc: survey了一下,骇客有可能破了AMT後,用AMT的远端挂载ISO载 05/24 18:19
32F:→ zxvc: 入自己的骇客OS。推论可能用此法新增管理者帐号... 05/24 18:21
33F:→ zxvc: 再没有更多线索的情形下,建议大家先去BIOS关闭AMT。感谢pl 05/24 18:22
34F:→ zxvc: 大提供重要建议。 05/24 18:22
※ 编辑: zxvc (36.228.51.190), 05/24/2017 18:27:49
36F:推 hmj: 有ip去报案就ㄧ定能找出是谁骇进来。 05/25 15:12
37F:推 go1717: IP也许是跳板 05/25 18:59
38F:推 FantasyNova: 可借ISP取得来源 05/26 11:22