系统是不是中毒了?

2018-12-13 22:05:56 +08:00
 runking

每次启动时,C 盘根目录下生成两个随机名字的文件夹,权限是管理员的,而且还是隐藏的

大概是这样的:setup547、Zuser396(每次重启进行换名字)

装有火绒,全盘查杀了下没有发现问题

两个文件夹内分别是随机名字的 10 个文件类型的文件

setup547 文件夹下 10 个文件为:

4nmchZf8wFf1aVJG.xlsx

37lW1l.doc

bRxnS0os8eR0QHJZk.rtf

fCsSHuq4d.docx

iha5EkDH7UkkXvom8n.xls

l1K4V.jpg

t90kLMKs6nFw.txt

Tnoc7aR3NB.mdb

Tsgdf2T.sql

YHwHFNpyE.pem

Zuser396 文件夹下 10 个文件为:

1ckScuHGPIUTfBLtStr.docx

4IRd1U.mdb

5Ohe7reTFYYgOluCMqa.xlsx

B9biW.doc

gkhaeDCEmUl.rtf

gOS0XTIKf45.pem

jpZ2GgOo8cvHsxr.xls

KuUrGc2snMxoZ.sql

vIVyYWF.txt

yEtGhByKerJSs3D2bM.jpg

3054 次点击
所在节点    微软
16 条回复
runking
2018-12-13 22:08:49 +08:00
这次重启 两个文件夹的名字为:program380、Ztool497,两个文件夹内文件还是分别 10 个,名字变了。
Cytion
2018-12-13 22:20:06 +08:00
你是不是装火绒了
processzzp
2018-12-13 22:23:01 +08:00
看样子像是火绒的勒索软件诱捕功能。
runking
2018-12-13 22:23:26 +08:00
@Cytion 就是有火绒啊
runking
2018-12-13 22:25:18 +08:00
@Cytion
@processzzp
果然是火绒
jasonyang9
2018-12-13 22:25:56 +08:00
是不是装过 RansomWare Free ?
Tink
2018-12-13 22:34:29 +08:00
这个和火绒有啥关系
cherbim
2018-12-13 22:35:20 +08:00
这是火绒的钓鱼执法官……
假装 user,setup,data 等文件夹(一般勒索病毒喜欢盯着这些文件夹),内含各种格式“重要文件”,坐等病毒上门
cherbim
2018-12-13 22:37:49 +08:00
@Tink 火绒一个诱捕勒索病毒功能……就是生成一堆勒索病毒重点关注的文件夹,一旦这些文件被访问,说明有病毒上钩了……
Tink
2018-12-13 22:39:21 +08:00
@cherbim #9 这个厉害了
silhouette
2018-12-13 23:01:10 +08:00
有点东西
boris1993
2018-12-13 23:43:16 +08:00
hhhhhh 火绒钓鱼执法还行
Trumeet
2018-12-13 23:55:07 +08:00
想起了以前也出现过,当时吓坏了,还以为是病毒。。最后整了半天,忘记装没装火绒了,可能是它的锅
cxh2000210
2018-12-14 07:54:25 +08:00
钓鱼执法还行,不过这个钓法也不错(
lianggexp
2018-12-14 08:14:51 +08:00
@cherbim 最后发现都是 explorer.exe 在访问这些文件🌚
etnperlong
2018-12-14 15:09:25 +08:00
火绒钓鱼执法可还行哈哈哈哈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/517366

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX