标签: malware

我的 MacBook 现在有一个我似乎无法摆脱的黑客的永久后门。我什至尝试从 Linux U 盘启动，擦除包括 EFI 分区在内的所有内容，但每次我尝试重新安装我的连接时，我的连接都会被这个“SlingShot”功能劫持，并重新路由到托管受感染安装的某些服务器：

NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80
GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6
GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240
GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1
GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1
NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6
NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces.
NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS.
SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80
SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX'
NetworkResolveDomainName: Resolved …

当我试图从我的托管虚拟服务器之一对我的一个域名进行 nslookup 时，我刚刚注意到一些非常奇怪和令人担忧的结果。

域 [mydomain].info 解析为 [mydomain].info.com.au 并列出了 4 个我不使用的 IP。

这仅发生在一台服务器上，并且仅针对此域和子域（来自我所做的测试）。

我尝试过的事情...

1) “ipconfig /flushdns”。没有效果。

2）检查主机文件。没什么可疑的。

3) 我已经检查了注册表中与 DNSChanger 病毒相关的条目，但我看不到任何可疑的东西。

4) 更改了连接接口的 DNS 服务器。nslookup 显示了新的 DNS 服务器，但结果是一样的。

5) 扫描 dnslookup.exe 是否有病毒，但什么也没出现。此外，如果我使用另一台计算机上的此可执行文件运行查询，结果是正确的。

我不知道这是否意味着我的服务器实际上受到了威胁，或者我的托管服务提供商是否可能在出站 dns 查找方面做了一些狡猾的事情。

服务器是 Windows Server 2012

除了这个 dns 问题之外，服务器运行良好。我没有观察到任何其他奇怪的行为。

如果有人有任何建议，他们将不胜感激。这是一个实时的生产服务器，托管许多客户端网站，所以这让我感到压力很大。

根据要求，这是输出。很抱歉，我不想显示实际的域名，因为它是个人可识别的。但是我已经验证域记录是正确的。

PS C:\scripts> nslookup [mydomain].info
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

Non-authoritative answer:
Name:    [mydomain].info.com.au
Addresses:  52.3.124.67
          52.201.189.141
          54.85.85.70
          52.5.111.221

PS C:\scripts>

经过更多调查，看来这不仅仅是我的域。它发生在任何 .info 域中。我已经包含了调试打开的 nslookup 结果......

> somedomain123123.info
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

------------
Got answer:
    HEADER:
        opcode = …

今天浏览时，我被chrome重定向到https://nuj.sdsjweb.com/f1?s=cf-0&r=。该页面显示了一条感谢消息。

Windows Defender 已开启并且是最新的。我扫描了计算机一次，但没有找到任何东西。我今天没有安装任何新的扩展。它是某种恶意软件吗？如果是这样，我该如何删除它。

铬版 51.0.2704.103 米

Windows 10 [已启用更新]

今天我打开谷歌浏览器，在自定义和控制菜单上看到：“由您的组织管理”，这是恶意软件标志吗？如果是的话我怎样才能完全删除该恶意软件？我的操作系统是 Linux RHEL 发行版。

比较时有哪些相关差异：通过 WiFI 连接与计算机联机或使用以太网端口并使用 LAN 电缆连接到计算机？

1) 方面，例如：VPN、防火墙、恶意软件感染、一般互联网安全 - 所有这些方面在这两种情况下的工作方式是否相同？

2) 当您使用多个设备连接到同一个 WIFI 网络时，这些设备可能会相互交互（“共享网络”）。

通过以太网电缆连接的设备是否也会落入这个共享网络（如果是，如何防止？）？或者以太网连接的设备是否会与所有其他 WiFI 连接的设备隔离？

谢谢

我想知道扫描 .zip 文件有多安全，并根据 AV 报告来决定如何处理它。具体来说：如果我有一个 .zip 文件，并且使用良好的防病毒软件运行扫描并且没有报告威胁，这是否令人放心？如果我知道 .zip 文件仅包含非 exe 文件，例如 mp3 和 mp4，并且我提取 .zip，然后单独扫描每个文件，并且防病毒软件不会报告威胁，这是否令人放心？这种情况下有什么需要注意的吗？

它是什么？我是怎么得到的？我假设是间谍软件/恶意软件，我应该摆脱它。

我的笔记本电脑感染了某种恶意软件。我无法联系 microsoft.com、symantec.com 等。我检查了 HOSTS 文件，但没有异常条目。恶意软件还可以通过哪些其他方式来编排这种效果？我还没有采取任何措施来清理感染，但我有兴趣在清理之前了解这种机制。

编辑：正如在下面的评论中提到的，nslookup针对配置的 DNS 服务器产生正确的结果。

每当我将 USB 闪存驱动器插入运行 Windows XP 的笔记本电脑时，就会在其中创建一个 AutoRun.inf 文件。还会创建一个名为“Cache”的隐藏文件夹，它使用回收站图标。

无法在 Windows 中打开 AutoRUN.inf 文件。Autorun.inf 文件和“Cache”文件夹都不能删除。

我使用 Ubuntu 打开了 AutoRun.inf 文件。我看到它正在尝试运行文件 Cache\TMP983.exe。

我运行了所有反间谍软件、反恶意软件、反病毒、USB 自动运行程序，但无济于事。

我该如何解决？

几年前，我只遇到过一次这个问题。

前几天我买了一台新电脑，昨晚我访问了一个网站，谷歌浏览器怀疑它是一个不安全的网站。所以我还是继续查看页面（愚蠢，我知道......但我很好奇），突然窗口关闭，从那以后，每隔几分钟，谷歌浏览器或 Internet Explorer 就会不断弹出随机网站，其中大部分是色情相关网站。

我已经下载了 ZoneAlarm、IOBit 36​​0、Eset Smart Security，但都没有报告任何问题。我仍然有 rube 浏览器问题。

有人可以建议任何软件/方法来解决这个问题吗？（除了重新格式化，请:)）

谢谢 ：）