PTT數位生活區 / Nethood (電腦入門)

[問題]local port一直變換是不是應用程式有問題

看板Nethood (電腦入門)作者 (Ricahrd Ou)時間1年前 (2022/09/21 21:49), 編輯推噓1(1010)
留言11則, 2人參與, 1年前最新討論串1/1
之前學校來信告知,我的電腦疑似被植入挖礦程式,因此暫時停止我的宿網使用權。 而我在網路恢復後,就下載了TCP view偵測是否有可疑的連線。最近我發現一個名叫 AddInProcess的exe檔,會不停的變換Local Po rt的號碼,另外它的Remote Port的號碼是3333,與信件提供的完全相同,這讓我不得不 懷疑,它就是讓我宿舍網路被斷的幕後黑手。 但我並不是非常肯定,所以我想請教有心得的各位幾個問題。首先,這是不是所謂的 挖礦連線? 如果是請問我該怎麼刪除它?(我有試著把它刪掉,但視窗顯示我未取得權限) 以下是我所提供的資訊,希望對大家家在解答我的問題時,能夠有所幫助,謝謝。 https://imgur.com/JuzVE0B
學校寄來的警告信 https://imgur.com/ocpcAlK
Exe檔案位置 https://imgur.com/RPOHVKr
Tcpview 所提供資訊 https://imgur.com/Mu8uBD8
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.114.123.87 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Nethood/M.1663768164.A.CAB.html
09/22 16:14, 1年前 , 1F
直接重灌就好,沒有人要幫你免費殺毒,除非有人想拿你
09/22 16:14, 1F
09/22 16:14, 1年前 , 2F
的例子做研究自己做研究員
09/22 16:14, 2F
09/22 16:14, 1年前 , 3F
你要殺也是可以陪你一起玩自己發站內信
09/22 16:14, 3F
09/22 18:21, 1年前 , 4F
如果沒搞錯的話 這東西是.NET Framwork自帶的檔案之一 但我
09/22 18:21, 4F
09/22 18:22, 1年前 , 5F
開發環境裝的4.8 這檔案版本是4.8.3752.0 你的檔案有可能
09/22 18:22, 5F
09/22 18:23, 1年前 , 6F
是4.8.1 假設木馬的判斷是正確的 那應該是被假貨覆蓋了
09/22 18:23, 6F
09/22 18:24, 1年前 , 7F
我本機開發環境這個檔案能刪除 平常也不會在背景執行 然後丟
09/22 18:24, 7F
09/22 18:25, 1年前 , 8F
去virustotal掃也是全部通過沒有警告 你可以嘗試掃看看
09/22 18:25, 8F
09/22 18:26, 1年前 , 9F
單純要刪掉這檔案應該不難 但通常挖礦木馬會有另外藏起來的
09/22 18:26, 9F
09/22 18:26, 1年前 , 10F
本體 發現挖礦程式被刪掉就會偷偷再抓下來
09/22 18:26, 10F
09/22 18:27, 1年前 , 11F
資訊僅供參考 這麼處理木馬我就沒這麼專業了...
09/22 18:27, 11F
更多 ou38817732 的文章
文章代碼(AID): #1ZAnPaoh (Nethood)
Nethood 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 ou38817732 的文章
文章代碼(AID): #1ZAnPaoh (Nethood)