作者ou38817732 (Ricahrd Ou)
看板Nethood
标题[问题]local port一直变换是不是应用程式有问题
时间Wed Sep 21 21:49:22 2022
之前学校来信告知,我的电脑疑似被植入挖矿程式,因此暂时停止我的宿网使用权。
而我在网路恢复後,就下载了TCP view侦测是否有可疑的连线。最近我发现一个名叫
AddInProcess的exe档,会不停的变换Local Po
rt的号码,另外它的Remote Port的号码是3333,与信件提供的完全相同,这让我不得不
怀疑,它就是让我宿舍网路被断的幕後黑手。
但我并不是非常肯定,所以我想请教有心得的各位几个问题。首先,这是不是所谓的
挖矿连线? 如果是请问我该怎麽删除它?(我有试着把它删掉,但视窗显示我未取得权限)
以下是我所提供的资讯,希望对大家家在解答我的问题时,能够有所帮助,谢谢。
https://imgur.com/JuzVE0B 学校寄来的警告信
https://imgur.com/ocpcAlK Exe档案位置
https://imgur.com/RPOHVKr Tcpview 所提供资讯
https://imgur.com/Mu8uBD8
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.114.123.87 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Nethood/M.1663768164.A.CAB.html
1F:推 DINJIAPC: 直接重灌就好,没有人要帮你免费杀毒,除非有人想拿你 09/22 16:14
2F:→ DINJIAPC: 的例子做研究自己做研究员 09/22 16:14
3F:→ DINJIAPC: 你要杀也是可以陪你一起玩自己发站内信 09/22 16:14
4F:→ spfy: 如果没搞错的话 这东西是.NET Framwork自带的档案之一 但我 09/22 18:21
5F:→ spfy: 开发环境装的4.8 这档案版本是4.8.3752.0 你的档案有可能 09/22 18:22
6F:→ spfy: 是4.8.1 假设木马的判断是正确的 那应该是被假货覆盖了 09/22 18:23
7F:→ spfy: 我本机开发环境这个档案能删除 平常也不会在背景执行 然後丢 09/22 18:24
8F:→ spfy: 去virustotal扫也是全部通过没有警告 你可以尝试扫看看 09/22 18:25
9F:→ spfy: 单纯要删掉这档案应该不难 但通常挖矿木马会有另外藏起来的 09/22 18:26
10F:→ spfy: 本体 发现挖矿程式被删掉就会偷偷再抓下来 09/22 18:26
11F:→ spfy: 资讯仅供参考 这麽处理木马我就没这麽专业了... 09/22 18:27