我是說以前......很久以前.

3.4.9 42606

不過我發現到,這個挖礦機可能不是4/21放進我電腦的
C:\Windows\Update.exe
是個RAR自解檔,檔案日期是4/24早上11:22...

現在正在回想,我那時在做啥?

靠夭,我另一台電腦也被放了...
Firefox,Chrome完全沒放任何Plugin的,幾乎是純Windows 7 Pro OEM(正版)的環境,
只裝了Diablo3的也被放...
有用Tinytask做按鍵滑鼠replay用

跟BT機的共通點只有:
1.都是透過PPPOE取得實體IP,只開了TCP/IPv4
2.有裝Diablo3
3.有用Tinytask(已用了N年)
4.有裝WinRAR試用版(rarlab下載的試用版)
5.有裝UltraVNC 1.0.9.6.2,使用非標準port
6.系統不允許遠端桌面的任何連線
7.Windows update只到2016年11月左右
8.有裝CCleaner做開機清理垃圾

還有注意一下,系統有多了幾個Administrator等級的帳戶
什麼 IISUSER_ACCOUNTXX , IUSR_Servs

我也是中標者(今天發現)
症狀 100%cpu 或者以下路徑發現檔案
C:\Windows\dell\Update64.exe
C:\Windows\dell\svchost.exe


其中的bat參數 包含了 調出你的電腦資料,以及刪除日誌+開後門
所以只要打開 系統管理工具 -> 事件檢視器 -> windows記錄 -> 安全性
最下方訊息會發現 駭客都把記錄給清除掉了

此駭客入侵大至上目標是 用你的電腦挖礦 (這是確定的)

記得將 svchost程序關閉 在關閉Update64 才能制止運行
不然單純關閉 Update64 還是會被自動重啟

(如何確定哪一個svchost這個路徑是假的呢?)
工作管理員 -> 檢視 -> 選取欄位 ->映像路徑名稱 打開
就可以看見 有兩個程式都在
C:\Windows\dell\
這裡運行
將 svchost程序關閉 -> 在關閉Update64關閉

關閉之後 就可以直接刪除資料夾了


防止再發生的確定一件事情是
檢查你的windows防火牆 並且將防火牆開啟!!
駭客因該是用掃描ip方式 將只要是adsl pppoe出去的用戶都嘗試入侵

我的電腦今天已經安裝兩三個防毒軟體掃瞄看看
看有沒有可能其他地方還藏著駭客的東西

最近幾個月windows有修補很多漏洞，尤其是2017年1月~4月，如果沒更新很容易被入侵。
既然被入侵過，UltraVNC的密碼最好也改掉。

我猜是這個漏洞造成的：
2017-01
KB3216771 - 修正遠端使用者可透過本機安全性授權子系統服務(lsass)入侵的安全性漏洞

我的電腦倒是沒這個問題

追記(貌似)
被入侵過的電腦 會在以下路徑建立檔案
C:\Program Files (x86)\Common Files\microsoft shared\TextConv\NSLS.dll
檔案的建立日期剛好是被入侵後的幾天...

完全沒有樓上的那些症狀, 不過今天Bitdefender三不五時彈出這個東西