|
我向来是不惮以最坏的恶意来推测外国人的,然而我还不料,也不信竟会下劣凶残到这地步! 我搜一个realtek 无线网卡驱动程序,找到一个外国驱动网站,看上去还挺像的!分门别类的什么驱动都有! 而且每个驱动都有说明,适用什么芯片,什么厂商!看上去真是真实无比! 下载的速度非常慢,十几兆的速度,接连断线,其实这时候你就应该警醒了,这是什么网站,会这么慢!后来我分析,这是私有服务器,因为不会有大的cloud厂商会允许这种大量病毒木马的网站在他们那里host的! 下载之后解压,里面有两个exe程序,WiFiAutoDriverSrv 等,我没有点击,相反是用windows update driver方式来更新驱动,意外的是,windows根本不承认这个驱动好使!无奈我就点击了这个exe程序,当真是危险万分呢,点击之后,什么都没有发生,一闪而过! 如果是一般人也就一笑而过了,根本不会多想,就认为驱动不好使就完了,我却嗅到危险的信息,不顾一切地要追索真相。 我查看了event log, 分析了今天发生的一切可疑event, 结果发现这个程序,是一个msi 安装程序,把自己伪装成dll驱动,骗过windows, 成功地安装了,至于它要干什么,肯定不可能是什么好事! 我就急了,用power shell 查看所有可疑进程,列出来它当前 service 名字和存在的路径,并试图停止进程,结果通知我不能停止,因为它级别非常高,是系统级别的,不是有鬼至于这样吗,我从admin启动powershell, 停止了它的进程,删掉了它的文件路径,它把文件路径编成乱码,只有自己能访问,系统都搜不出来!又编写power shell 找到了它存在的注册表键值,也删掉了,竟然鬼祟地把自己放入service中,每次重启都要运行!经过几番删除,终于删干净,重启动后不再运行。我不放心,又编了power shell程序,搜索一切非微软认证的,路径可疑的 service,果然搜出来一些,不过都不算是木马。 太危险了,我奉劝大家千万不要运行一切网上下载的不明程序,因为人心太坏了! 这些人下贱到极点了!为了黑你,不惜做了一个假驱动网站,一切都是假的,所有的驱动都是垃圾文件,就改个名字,根本不能运行,只有这个木马exe程序是真的!就是骗你点击这个exe,就大功告成,恐怕99%的人都要中招,木马盘踞了所有电脑,还不是为所欲为?捕捉你的键盘,搜索你的密码存储,你电脑变成透明! 最后我送上我的powershell程序,大家可自查: # Filename: Scan-SuspiciousStartupServices.ps1 # Purpose: 扫描系统中可疑启动项与服务 Write-Host "=== 可疑启动项与服务扫描 ===" -ForegroundColor Cyan function Is-SuspiciousPath($path) { return ($path -and $path -notmatch "Windows|Program Files|System32|SysWOW64") } # ---------- 1. 注册表启动项(路径异常) ---------- Write-Host "`n[1] 注册表中可疑启动项:" -ForegroundColor Yellow $startupKeys = @( "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run", "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" ) $excluded = @("  SPath", "SParentPath", "SChildName", "SDrive", "SProvider")foreach ($key in $startupKeys) { try { $props = Get-ItemProperty -Path $key foreach ($entry in $props.PSObject.Properties) { if ($excluded -notcontains $entry.Name) { $val = $entry.Value if ($val -and (Is-SuspiciousPath $val)) { Write-Host "❗ [$($entry.Name)] -> $val" -ForegroundColor Red } } } } catch { Write-Host "⚠️ 无法访问 $key" -ForegroundColor DarkGray } } # ---------- 2. 启动文件夹中的可疑文件 ---------- Write-Host "`n[2] 启动文件夹中可疑启动文件:" -ForegroundColor Yellow $folders = @( "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup", "$env  rogramData\Microsoft\Windows\Start Menu\Programs\Startup") foreach ($folder in $folders) { if (Test-Path $folder) { Get-ChildItem -Path $folder | ForEach-Object { if ($_.Extension -in @(".exe", ".vbs", ".bat")) { Write-Host "❗ 可疑文件:" $_.FullName -ForegroundColor Red } } } else { Write-Host "⛔ 启动目录不存在:" $folder -ForegroundColor DarkGray } } # ---------- 3. 当前运行的服务(无描述或路径异常) ---------- Write-Host "`n[3] 内存中运行的可疑服务:" -ForegroundColor Yellow $services = Get-WmiObject Win32_Service | Where-Object { ($_.State -eq "Running") -and ( (-not $_.Description) -or (Is-SuspiciousPath $_.PathName) ) } foreach ($s in $services) { Write-Host "❗ 服务:$($s.Name)" -ForegroundColor Red Write-Host " 描述:$($s.Description)" Write-Host " 路径:$($s.PathName)" } Write-Host "`n=== 可疑项扫描完毕 ===" -ForegroundColor Cyan |
