我好像被入侵了!!!! [真被黑了..]

显示全部楼层 · 发表于 2015-11-24 21:27:26

本帖最后由 kxmp 于 2015-12-10 18:18 编辑

2015-11-30 15:11:06
真被黑了
更新的时候下载了第三方插入的东西. 结果导致异常.

关于近期部分用户遭遇弹窗的说明

接触了几个反馈的用户排查问题后，确定是 Rolan 通信时被注入了弹窗的脚本。
可以通过安装支持过滤 IE 广告的软件或者投诉运营商来解决。
目前已经启用 https 来应对流氓投毒行为，如果检查更新、更换皮肤出现异常，请及时反馈。
Rolan 本身不包含任何推广行为，就算有我也不会傻到用弹窗来作死，请各位知晓。

突然rolan来了个要访问ie内存我ie都没运行哇!!!

搞什么!!

阻止之后ie还是自动开了因为rolan有权限开exe.....
然后弹了广告一个又一个. 这时候我看rolan有很多tcp连接..而且ip还都不一样... 这难道是... 不知道咋回事.

而且检测更新的时候为啥也会连接到那么多个ip上?!

rolan 1.3.4.2
EFC2D8BB82C72210A2D21CA5D45DE288
C97FD8518E3B8D2A35E959436F62D64620CC625F

2015/11/24 21:10:53,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Program Files\Internet Explorer\iexplore.exe" -startmediumtab -Embedding)
2015/11/24 21:10:54,C:\Program Files\Internet Explorer\iexplore.exe,26,Allowed ;修改受保护的注册表键 (HKCU\Software\Microsoft\Internet Explorer\Main,CompatibilityFlags)
2015/11/24 21:10:54,C:\Program Files\Internet Explorer\iexplore.exe,50,Allowed ;使用 DNS 解析服务访问网络
2015/11/24 21:10:54,C:\Program Files\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 ("C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:6512 CREDAT:275457 /prefetch:2)
2015/11/24 21:10:55,C:\Program Files (x86)\Internet Explorer\iexplore.exe,51,Allowed ;进程间通信 (InternetExplorer.OLE)
2015/11/24 21:10:56,C:\Program Files (x86)\Internet Explorer\iexplore.exe,50,Allowed ;使用 DNS 解析服务访问网络
2015/11/24 21:10:56,C:\Program Files (x86)\Internet Explorer\iexplore.exe,48,Allowed ;出站网络访问
2015/11/24 21:10:57,C:\Program Files\Internet Explorer\iexplore.exe,51,Allowed ;进程间通信 (InternetExplorer.OLE)
2015/11/24 21:10:57,C:\Program Files\Internet Explorer\iexplore.exe,18,Allowed ;记录键盘输入
2015/11/24 21:11:07,D:\Program\Rolan\Rolan.exe,51,Blocked ;进程间通信 (InternetExplorer.OLE)
2015/11/24 21:11:07,D:\Program\Rolan\Rolan.exe,53,Allowed ;执行应用程序 ("C:\Program Files\Internet Explorer\iexplore.exe" http://pic.kbcsw.com/AP5Min.aspx ... p;utz=1448370651837)
2015/11/24 21:11:08,C:\Program Files\Internet Explorer\iexplore.exe,26,Allowed ;修改受保护的注册表键 (HKCU\Software\Microsoft\Internet Explorer\Main,CompatibilityFlags)
2015/11/24 21:11:08,C:\Program Files\Internet Explorer\iexplore.exe,50,Allowed ;使用 DNS 解析服务访问网络
2015/11/24 21:11:08,C:\Program Files\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 ("C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:3480 CREDAT:275457 /prefetch:2)
2015/11/24 21:11:10,C:\Program Files (x86)\Internet Explorer\iexplore.exe,50,Allowed ;使用 DNS 解析服务访问网络
2015/11/24 21:11:11,C:\Program Files (x86)\Internet Explorer\iexplore.exe,48,Allowed ;出站网络访问
2015/11/24 21:11:11,C:\Program Files\Internet Explorer\iexplore.exe,51,Allowed ;进程间通信 (InternetExplorer.OLE)
2015/11/24 21:11:15,C:\Program Files (x86)\Internet Explorer\iexplore.exe,19,Blocked ;记录键盘输入
2015/11/24 21:11:16,C:\Windows\System32\SearchIndexer.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-2460096119-1458383127-1697754281-100091_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-2460096119-1458383127-1697754281-100091 1 -2147483646 "Software\Microsoft\Windows Searc)
2015/11/24 21:11:18,C:\Program Files\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 ("C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:6512 CREDAT:1127429 /prefetch:2)
2015/11/24 21:11:19,C:\Program Files (x86)\Internet Explorer\iexplore.exe,51,Allowed ;进程间通信 (InternetExplorer.OLE)
2015/11/24 21:11:20,C:\Program Files\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 ("C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:3480 CREDAT:209950 /prefetch:2)
2015/11/24 21:11:21,C:\Program Files (x86)\Internet Explorer\iexplore.exe,50,Allowed ;使用 DNS 解析服务访问网络
2015/11/24 21:11:22,C:\Program Files (x86)\Internet Explorer\iexplore.exe,48,Allowed ;出站网络访问
2015/11/24 21:11:26,C:\Program Files\Internet Explorer\iexplore.exe,22,Allowed ;截取屏幕
2015/11/24 21:11:26,C:\Windows\System32\ieframe.dll,13,Allowed ;安装 WH_MOUSE_LL 钩子
2015/11/24 21:11:26,C:\Program Files (x86)\Internet Explorer\iexplore.exe,55,Blocked ;正使用 DirectX 记录键盘输入
2015/11/24 21:11:27,C:\Program Files\Internet Explorer\iexplore.exe,48,Allowed ;出站网络访问
2015/11/24 21:11:33,C:\Program Files (x86)\Internet Explorer\iexplore.exe,55,Blocked ;正使用 DirectX 记录键盘输入
2015/11/24 21:11:40,C:\Program Files\Internet Explorer\iexplore.exe,18,Allowed ;记录键盘输入
2015/11/24 21:11:41,C:\Program Files\Internet Explorer\iexplore.exe,48,Allowed ;出站网络访问
2015/11/24 21:12:08,C:\Windows\System32\services.exe,53,Allowed ;执行应用程序 (taskhost.exe $(Arg0))

看起来那个url会跳转到各种页面上.....

@陈-烈焰风暴 @bbbxyoiil @lixihong10 @LisaLan @wulanmaodu @耐卡饭 @michael123 @pigiam @LLJ杰 @Amazing

显示全部楼层 · 发表于 2015-11-24 22:02:30

在沙盘里运行？？？？

显示全部楼层 · 发表于 2015-11-24 22:10:13

bbbxyoiil 发表于 2015-11-24 22:02
在沙盘里运行？？？？

没有呢!!

显示全部楼层 · 发表于 2015-11-25 08:16:19

你还会被入侵么？感觉整个世界都不安全了。
我用 rolan 都去掉了联网功能的

显示全部楼层 · 发表于 2015-11-25 10:42:17

中奖了 @！

显示全部楼层 · 发表于 2015-11-25 14:17:45

lixihong10 发表于 2015-11-25 08:16
你还会被入侵么？感觉整个世界都不安全了。
我用 rolan 都去掉了联网功能的

你难道手动更新?!

显示全部楼层 · 发表于 2015-11-25 15:46:25

kxmp 发表于 2015-11-25 14:17
你难道手动更新?!

一般这种程序我都是手动更新，然后winhex 00填充升级地址

显示全部楼层 · 发表于 2015-11-25 15:50:18

lixihong10 发表于 2015-11-25 15:46
一般这种程序我都是手动更新，然后winhex 00填充升级地址

这东西更新时候还开一堆端口... 搞得跟botnet一样....

显示全部楼层 · 发表于 2015-11-25 15:55:09

kxmp 发表于 2015-11-25 15:50
这东西更新时候还开一堆端口... 搞得跟botnet一样....

是你中招了吧

显示全部楼层 · 发表于 2015-11-25 15:59:41

lixihong10 发表于 2015-11-25 15:55
是你中招了吧

怎么会呢不信你自己试试么.

[其他] 我好像被入侵了!!!! [真被黑了..]

评分