作者ou38817732 (Ricahrd Ou)
看板Nethood
標題[問題]local port一直變換是不是應用程式有問題
時間Wed Sep 21 21:49:22 2022
之前學校來信告知,我的電腦疑似被植入挖礦程式,因此暫時停止我的宿網使用權。
而我在網路恢復後,就下載了TCP view偵測是否有可疑的連線。最近我發現一個名叫
AddInProcess的exe檔,會不停的變換Local Po
rt的號碼,另外它的Remote Port的號碼是3333,與信件提供的完全相同,這讓我不得不
懷疑,它就是讓我宿舍網路被斷的幕後黑手。
但我並不是非常肯定,所以我想請教有心得的各位幾個問題。首先,這是不是所謂的
挖礦連線? 如果是請問我該怎麼刪除它?(我有試著把它刪掉,但視窗顯示我未取得權限)
以下是我所提供的資訊,希望對大家家在解答我的問題時,能夠有所幫助,謝謝。
https://imgur.com/JuzVE0B 學校寄來的警告信
https://imgur.com/ocpcAlK Exe檔案位置
https://imgur.com/RPOHVKr Tcpview 所提供資訊
https://imgur.com/Mu8uBD8
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.114.123.87 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Nethood/M.1663768164.A.CAB.html
1F:推 DINJIAPC: 直接重灌就好,沒有人要幫你免費殺毒,除非有人想拿你 09/22 16:14
2F:→ DINJIAPC: 的例子做研究自己做研究員 09/22 16:14
3F:→ DINJIAPC: 你要殺也是可以陪你一起玩自己發站內信 09/22 16:14
4F:→ spfy: 如果沒搞錯的話 這東西是.NET Framwork自帶的檔案之一 但我 09/22 18:21
5F:→ spfy: 開發環境裝的4.8 這檔案版本是4.8.3752.0 你的檔案有可能 09/22 18:22
6F:→ spfy: 是4.8.1 假設木馬的判斷是正確的 那應該是被假貨覆蓋了 09/22 18:23
7F:→ spfy: 我本機開發環境這個檔案能刪除 平常也不會在背景執行 然後丟 09/22 18:24
8F:→ spfy: 去virustotal掃也是全部通過沒有警告 你可以嘗試掃看看 09/22 18:25
9F:→ spfy: 單純要刪掉這檔案應該不難 但通常挖礦木馬會有另外藏起來的 09/22 18:26
10F:→ spfy: 本體 發現挖礦程式被刪掉就會偷偷再抓下來 09/22 18:26
11F:→ spfy: 資訊僅供參考 這麼處理木馬我就沒這麼專業了... 09/22 18:27