V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
PP
V2EX  ›  问与答

请教:我这是中招了吗?

  •  
  •   PP · 2014-12-26 19:22:04 +08:00 · 6837 次点击
    这是一个创建于 3619 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前段时间电脑上安装了新浪微博桌面端,昨天读防火墙日志发现一个Weibo.exe不断的往外连,便将微博卸载掉了。方才偶然发现那个Weibo.exe还在向外连,不断的访问115.239.210.27和115.239.212.112的80端口,看了一下位置,在“C:\Windows\System32\Weibo.exe”,直接删不掉,进安全模式才删掉,删之前备份了一下,有兴趣的V友可以通过下面的链接下载,务请小心!

    Link Size
    Weibo.rar 850.239 KB
    http://www.fileconvoy.com/dfl.php?id=gadbce0185497e1fa999601654512be6020401f1d3

    截一段防火墙日志:
    19:06:24 C:\Windows\System32\Weibo.exe TCP 192.168.1.2 2186 115.239.210.27 80
    19:06:23 C:\Windows\System32\Weibo.exe TCP 192.168.1.2 2184 115.239.211.112 80
    19:06:17 C:\Windows\System32\Weibo.exe TCP 192.168.1.2 2183 115.239.210.27 80
    19:06:16 C:\Windows\System32\Weibo.exe TCP 192.168.1.2 2182 115.239.211.112 80
    19:06:10 C:\Windows\System32\Weibo.exe TCP 192.168.1.2 2181 115.239.210.27 80
    19:06:09 C:\Windows\System32\Weibo.exe TCP 192.168.1.2 2180 115.239.211.112 80
    19:06:03 C:\Windows\System32\Weibo.exe TCP 192.168.1.2 2179 115.239.210.27 80
    19:06:02 C:\Windows\System32\Weibo.exe TCP 192.168.1.2 2178 115.239.211.112 80
    12 条回复    2014-12-29 12:59:23 +08:00
    BlueFly
        1
    BlueFly  
       2014-12-26 19:35:48 +08:00   ❤️ 1
    不用怀疑了,你猜对了。
    正常程序哪有放在 %systemroot%\system32 目录
    PP
        2
    PP  
    OP
       2014-12-26 19:49:24 +08:00
    @BlueFly
    我几年前还曾经在system32下还翻出过winrar.exe……
    BlueFly
        3
    BlueFly  
       2014-12-26 19:53:27 +08:00   ❤️ 1
    @PP 在线检测可疑文件
    https://www.virustotal.com/zh-cn/
    http://www.virscan.org/

    用arktools清除掉就是: PCHunter, PowerTool
    PP
        4
    PP  
    OP
       2014-12-26 20:01:39 +08:00
    @BlueFly
    用System Explorer检查,结果是没有Threat Files,ESET SysInspector也是什么都没查到。那个Weibo.exe我在安全模式下删除掉了。您推荐的资源不错,多谢!:)
    coldwinds
        5
    coldwinds  
       2014-12-26 20:03:23 +08:00   ❤️ 1
    http://s.weibo.com/wb/weibo.exe&xsort=time

    桌面微博是个流氓软件
    coldwinds
        6
    coldwinds  
       2014-12-26 20:06:12 +08:00   ❤️ 1
    PP
        7
    PP  
    OP
       2014-12-26 20:12:44 +08:00
    @coldwinds
    整个2014年,我只在电脑上安装了三个软件,10月装了iTunes,11月装了微博桌面端,12月装了12306订票助手。我只能说那个Weibo.exe被部署的时间和微博桌面端的安装时间吻合,因为不懂技术,所以没有办法拿出直接证据证明这就是新浪微博干的。另外我也有点好奇,那个IP地址我在浏览器里访问了一下,返回的页面居然是百度,当时我就困惑了,这到底是怎么一回事?
    coldwinds
        8
    coldwinds  
       2014-12-26 20:20:10 +08:00   ❤️ 1
    @PP 硬盘搜索weiboupdate.exe和weibo.exe删掉即可,具体他想干什么我也不清楚,但是在我已经卸载微博桌面后的几个月的某一天,看防火墙时发现他们还在运行着,实在流氓

    你可以试试重装微博桌面会不会重新生成这些文件来做验证
    PP
        9
    PP  
    OP
       2014-12-26 20:31:48 +08:00
    @coldwinds
    大概是“为了更好的向用户提供服务”吧!
    PP
        10
    PP  
    OP
       2014-12-27 03:43:49 +08:00 via iPad
    coldwinds
        11
    coldwinds  
       2014-12-27 10:42:34 +08:00   ❤️ 1
    @PP 把软件装sandboxie里就行了
    PP
        12
    PP  
    OP
       2014-12-29 12:59:23 +08:00
    防火墙认真干活,把外连挡住了,不然也许会抓个百度卫士什么的回来往我的电脑上安装。新浪微博的桌面安装程序往sysytem32放.exe,然后只外连百度的服务器,要说没鬼谁信啊?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   904 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 21:45 · PVG 05:45 · LAX 13:45 · JFK 16:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.