V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
AnotherM
V2EX  ›  问与答

接收到了对方的一个文件,点开之后就成了肉鸡,然后眼看着游戏装备就被盗了,有啥办法?

  •  
  •   AnotherM · 2015-06-23 14:47:56 +08:00 · 7758 次点击
    这是一个创建于 3445 天前的主题,其中的信息可能已经有所发展或是发生改变。

    已经投诉某蛋疼(腾)客服,估计也没啥作用,那个人给我发过来的文件当时由于脑子发热没注意,并且没开启Comodo的疯狂模式,后来发现是文件指向C:\Windows\system32\rundll32.exe advpack.dll,LaunchINFSectionEx %appdata%\fnview\fnview.inf,DefaultInstall,,32 很明显是个远程的,但是对方qq和游戏ID具体时间和聊天记录之类的还有,发起DDOS攻击?关键是潜水了很久却发现我知识还不足 = = 各位大神,谁知道怎么办了那个人,我他估计已经弄了别人不少钱了

    第 1 条附言  ·  2015-06-23 23:04:32 +08:00
    补一句,对方QQ 136531179如果有大神能搞定的话那就好,不过怕的是和游戏在一条产业链上的??通过盗东西赚钱到时候分发到蛋疼公司…
    79 条回复    2015-06-24 15:16:07 +08:00
    AnotherM
        1
    AnotherM  
    OP
       2015-06-23 14:50:01 +08:00
    @Livid 我潜水很久还是觉得有些不明觉厉= = 求帮忙移动到正确的节点
    powtop
        2
    powtop  
       2015-06-23 15:05:21 +08:00
    直接关机
    finab
        3
    finab  
       2015-06-23 15:07:03 +08:00
    眼看着的时候咋不拔电源?😄
    AnotherM
        4
    AnotherM  
    OP
       2015-06-23 15:08:17 +08:00 via Android
    @powtop = =估计是老手,1秒反应时间你来得及?😂
    AnotherM
        5
    AnotherM  
    OP
       2015-06-23 15:09:03 +08:00 via Android
    @finab 笔记本…我总不能扣电池吧😂还有A神一体机,我总不能摔电脑吧😂😂
    leassy
        6
    leassy  
       2015-06-23 15:11:40 +08:00
    是时候在电脑中安装 "一键销毁电脑" 程序了
    ahu
        7
    ahu  
       2015-06-23 15:11:50 +08:00
    断网啊,断啥电...
    Karblue
        8
    Karblue  
       2015-06-23 15:12:16 +08:00 via Android
    然而断网可以解决一切
    hging
        9
    hging  
       2015-06-23 15:13:31 +08:00
    那没办法了. 一点办法都没有.
    AnotherM
        10
    AnotherM  
    OP
       2015-06-23 15:15:13 +08:00 via Android
    @leassy 😑
    AnotherM
        11
    AnotherM  
    OP
       2015-06-23 15:15:48 +08:00 via Android
    @ahu 然而当时已经被搞定了😑目测只有蛋疼客服可以解决了
    AnotherM
        12
    AnotherM  
    OP
       2015-06-23 15:19:50 +08:00 via Android
    @hging 我现在的想法是…搞定对方我可以再以交易的名义用小号与对方交流然后就想知道大神们一般会怎么解决?😂
    hging
        13
    hging  
       2015-06-23 15:25:17 +08:00
    @AnotherM 😂大神们都不会被骗.
    myywin
        14
    myywin  
       2015-06-23 15:26:19 +08:00 via iPhone
    我也遇过 那次路由器就在身边 直接把路由器电源关了
    hging
        15
    hging  
       2015-06-23 15:26:45 +08:00
    @AnotherM 并且 客服90%都不会去管这个事儿. 因为在他们看来这是正常的交易(没有异地登录,经过了交易确认什么的)对游戏来说 这就是一笔正常的交易.
    AnotherM
        16
    AnotherM  
    OP
       2015-06-23 15:26:55 +08:00 via Android
    @hging 当时也是头疼脑热了😂幸亏被弄走的东西不多
    AnotherM
        17
    AnotherM  
    OP
       2015-06-23 15:28:05 +08:00 via Android
    @myywin 然而我连接的是WiFi但是当时没察觉…而且对方手特别快
    bk201
        18
    bk201  
       2015-06-23 15:28:16 +08:00
    喝醉了?看着别人操作你电脑?
    AnotherM
        19
    AnotherM  
    OP
       2015-06-23 15:30:17 +08:00 via Android
    @bk201 当时的确有点儿醉😂因为游戏里急着用钱
    xrui
        20
    xrui  
       2015-06-23 15:32:55 +08:00 via Android
    下回做个按钮放在电脑边上,一键断路由的电😂
    AnotherM
        21
    AnotherM  
    OP
       2015-06-23 15:34:15 +08:00 via Android
    @xrui 干脆放个能让英伟达核弹爆炸的按钮吧😂
    lonelygo
        22
    lonelygo  
       2015-06-23 15:34:41 +08:00
    @AnotherM 呆若木鸡?
    AnotherM
        23
    AnotherM  
    OP
       2015-06-23 15:35:32 +08:00 via Android
    求大神出现🙏告诉我搞定对方的方法🙌😂
    AnotherM
        24
    AnotherM  
    OP
       2015-06-23 15:36:16 +08:00 via Android
    @lonelygo 差不多了,当时根本没反应过来😂
    9hills
        25
    9hills  
       2015-06-23 15:44:59 +08:00
    @AnotherM 这要看运营商

    我只玩过网易的,知道网易的号都是身份证绑定,然后有找回装备的功能。暗黑可以找回3次。

    其他不知道。。
    lbp0200
        26
    lbp0200  
       2015-06-23 15:50:10 +08:00
    拔网线之后,关机,拆出硬盘,然后砸碎
    AnotherM
        27
    AnotherM  
    OP
       2015-06-23 15:56:35 +08:00 via Android
    @9hills 我知道网易的客服,算是比较良心的,但是这是蛋疼(腾)的客服😑
    AnotherM
        28
    AnotherM  
    OP
       2015-06-23 15:57:15 +08:00 via Android
    @lbp0200 我买的又不是Samsung EVO😏
    lxrabbit
        29
    lxrabbit  
       2015-06-23 15:58:04 +08:00
    为什么不开QQ安全中心的游戏登陆保护?
    AnotherM
        30
    AnotherM  
    OP
       2015-06-23 15:59:56 +08:00 via Android
    @lxrabbit 是点开一个Shell文件之后我电脑成了肉鸡,不是被盗号😓表示想到这种方法的人也真是够会玩儿的…
    lxrabbit
        31
    lxrabbit  
       2015-06-23 16:27:09 +08:00
    @AnotherM 那你把电源键设为关机,遇到这种情况你就关机然后找个U盘进PE手工杀毒
    AnotherM
        32
    AnotherM  
    OP
       2015-06-23 16:32:25 +08:00 via Android
    @lxrabbit 不是病毒,只是一个CMD命令和一个Shell命令…结果我却上当了
    jkjoke
        33
    jkjoke  
       2015-06-23 16:41:29 +08:00   ❤️ 1
    让我想起来小时候玩石器时代
    点开一个脚本,鼠标不受控制地一步扔一个宠物,那人就在旁边捡。。。。那种绝望而不知所措的感觉
    lxrabbit
        34
    lxrabbit  
       2015-06-23 16:41:33 +08:00
    @AnotherM 还有这样的恶意软件?我表示我也没见过.你们城里人真会玩
    AnotherM
        35
    AnotherM  
    OP
       2015-06-23 16:44:12 +08:00 via Android
    @jkjoke 感同身受= =
    steptodream
        36
    steptodream  
       2015-06-23 16:44:21 +08:00
    这都上当 无语了
    以前玩暗黑的时候也有这样盗号的
    他给你发图片 总是破裂 其实本来就是破裂的
    然后说网络不好 发图片不成功 通过压缩文件发送 你收文件解压后 里面有图片格式的东西 还有exe和dll链接库 一看就有问题 直接拉黑。
    AnotherM
        37
    AnotherM  
    OP
       2015-06-23 16:54:10 +08:00 via Android
    @steptodream 这个是两个空白文件,指向命令提示符开启远程控制,后来我反应过来时候才看到的😑
    x86
        38
    x86  
       2015-06-23 17:34:57 +08:00
    目测地下城
    yeyeye
        39
    yeyeye  
       2015-06-23 17:58:35 +08:00
    笔记本直接泼水
    hillw4h
        40
    hillw4h  
       2015-06-23 18:51:08 +08:00
    啥意思?你眼看着他转移你的装备?
    tangzx
        41
    tangzx  
       2015-06-23 18:57:16 +08:00 via iPhone
    充钱买更好的装备,在游戏里砍死他
    AnotherM
        42
    AnotherM  
    OP
       2015-06-23 19:48:30 +08:00 via Android
    @hillw4h 的确,直接被远程控制了
    AnotherM
        43
    AnotherM  
    OP
       2015-06-23 19:49:01 +08:00 via Android
    @tangzx 对方很明显小号,大号的话没人作这个死😑
    751762476
        44
    751762476  
       2015-06-23 19:51:15 +08:00
    删游戏
    evlos
        45
    evlos  
       2015-06-23 19:53:01 +08:00
    文件还在么,发出来看看,运气好可以顺藤摸瓜 lol
    AnotherM
        46
    AnotherM  
    OP
       2015-06-23 20:06:29 +08:00 via Android
    @evlos 只是一个Shell文件而已…
    Mayo
        47
    Mayo  
       2015-06-23 22:37:27 +08:00
    COMODO的普通模式 注册表也不是能随便乱动的吧?没有提示?
    netstat -ano+tasklist查看进程和连接,定位到ip。一般的启动方式为注册表和启动项,删之即可。至于得到ip之后呢,你可以随意发挥。
    AnotherM
        48
    AnotherM  
    OP
       2015-06-23 22:41:27 +08:00 via Android
    @Mayo 然而已经是7个小时之前的事情了😂不过这货貌似开了远程之后直接弄到了我的管理员权限 看来以后需要弄个Sandboxie玩玩了…😂
    huanglexus
        49
    huanglexus  
       2015-06-23 23:01:34 +08:00
    什么年代了居然还有肉鸡啊?
    AnotherM
        50
    AnotherM  
    OP
       2015-06-23 23:06:21 +08:00 via Android
    @huanglexus 利用Windows Shell开启了远程服务被搞的,当时没反应过来😑
    Quaintjade
        51
    Quaintjade  
       2015-06-23 23:23:17 +08:00
    论实体Wifi开关的重要性……
    wclebb
        52
    wclebb  
       2015-06-23 23:23:38 +08:00
    你是不是要下载外挂才被盗的……
    一般情况下打开 Shell 文件应该会重命名保护系统,要你改名删掉重命名才有用。
    不过换 Mac 很久了,我都忘了 Windows 是不是这样的。
    AnotherM
        53
    AnotherM  
    OP
       2015-06-23 23:30:49 +08:00 via Android
    @wclebb 是点开了一个文件,文件指向rundll32.exe,貌似是用来加载Shell指令之后对方开了我的端口之后直接远程控制了
    zmj1316
        54
    zmj1316  
       2015-06-23 23:59:15 +08:00
    @AnotherM 这样的指令难道不需要UAC允许么?
    zmj1316
        55
    zmj1316  
       2015-06-24 00:01:24 +08:00
    @AnotherM 我搜了一下fnview 貌似本来就是一个恶意程序,不可能只发一个shell就黑了你的,估计是你以前就中招了
    AnotherM
        56
    AnotherM  
    OP
       2015-06-24 00:05:39 +08:00 via Android
    @zmj1316 实在是不明白这货到底怎么搞得…红伞防着,科莫多开着这都能玩的动😑
    n37r06u3
        57
    n37r06u3  
       2015-06-24 00:56:09 +08:00
    发文件 让大家看看啊
    AnotherM
        58
    AnotherM  
    OP
       2015-06-24 01:42:17 +08:00 via Android
    @n37r06u3 都说了一个文件指向rundll32.exe了,再说了是一个Shell文件而已,不过为了保险起见我还是不发出来了,这货貌似可以直接开远程控制,到时发出来之后打开的人电脑成了肉鸡再丢钱之类的,我可不想负这个责任😑
    geeklian
        59
    geeklian  
       2015-06-24 07:40:57 +08:00 via iPhone
    C:\Windows\system32\rundll32.exe advpack.dll,LaunchINFSectionEx %appdata%\fnview\fnview.inf,DefaultInstall,,32

    很明显,问题在那个fnview.inf.....

    说白了,很简单的事情.....

    木马在你的电脑上运行了很久了....
    RIcter
        60
    RIcter  
       2015-06-24 07:46:02 +08:00 via iPhone
    樓主有意可以發我郵箱,我這裡有逆向工程師可以幫忙看一看。
    ricterzheng at gmail
    maxbon
        61
    maxbon  
       2015-06-24 08:25:32 +08:00
    收到文件就点开。。。楼主你肯定还会有下次
    AnotherM
        62
    AnotherM  
    OP
       2015-06-24 09:49:48 +08:00 via Android
    @geeklian 刚刚找出来了一个隐藏的dll文件…还是我大意了😑
    fate
        63
    fate  
       2015-06-24 10:03:54 +08:00
    说不定人正看你发帖子..
    Havee
        64
    Havee  
       2015-06-24 10:13:02 +08:00
    看的一头雾水
    究竟是你看着对方远程你桌面,还是7个小时候你才发现的?
    你的求助究竟想达什么目的?黑掉对方电脑,还是找回自己损失?

    估计很多人跟我一样,好奇的是对方远程你电脑的时候,你在干啥,啥都不做,就看着?不知道关网络?
    luofei
        65
    luofei  
       2015-06-24 10:17:43 +08:00
    语文老师去哪里了
    AnotherM
        66
    AnotherM  
    OP
       2015-06-24 10:31:34 +08:00 via Android
    @RIcter 已发感谢,由于gmail限制文件类型,我上传到了百度网盘,链接和文件说明已经加到正文,还有前天读了你的文章,望学业有成咯😉
    AnotherM
        67
    AnotherM  
    OP
       2015-06-24 10:32:26 +08:00 via Android
    @maxbon 我已经下载了Sandboxie😑下次直接开科莫多疯狂模式+沙盒+虚拟机运行😑
    soolby
        68
    soolby  
       2015-06-24 10:36:14 +08:00
    通过盗东西赚钱到时候分发到蛋疼公司

    笑了,能不能别这么幼稚
    AnotherM
        69
    AnotherM  
    OP
       2015-06-24 10:42:16 +08:00 via Android
    @soolby 虽然幼稚,但是也不排除有这种可能性,毕竟只有他们内部人员才知道这种事儿
    soolby
        70
    soolby  
       2015-06-24 10:46:58 +08:00
    @AnotherM 当然可以排除这种可能性,异想天开
    AnotherM
        71
    AnotherM  
    OP
       2015-06-24 10:47:05 +08:00 via Android
    @Havee 当然是反黑一下…还有对方远程我的时间只有一秒就搞定了,还没来得及反应,我反射弧很大的😑
    AnotherM
        72
    AnotherM  
    OP
       2015-06-24 10:55:17 +08:00 via Android
    @soolby 在我印象中貌似有过一个公司这样做过后来被曝光了,而且还很有名,记得就是这几家大公司之一
    cuixiaolu
        73
    cuixiaolu  
       2015-06-24 11:56:56 +08:00
    Win键+L 先锁屏,然后拔电源,应该可以吧
    Ansen
        74
    Ansen  
       2015-06-24 13:53:40 +08:00
    其实我想问 是啥游戏
    AnotherM
        75
    AnotherM  
    OP
       2015-06-24 14:45:11 +08:00 via Android
    @Ansen 然而这并不是重点😑重点是蛋疼客服管不管用的问题
    CodeMonkey
        76
    CodeMonkey  
       2015-06-24 14:55:00 +08:00
    Ansen
        77
    Ansen  
       2015-06-24 15:04:14 +08:00
    @AnotherM 多半没有用
    AnotherM
        78
    AnotherM  
    OP
       2015-06-24 15:10:53 +08:00 via Android
    @Ansen 的确,刚刚收到废柴客服的回复,毕竟根据我的经验来说,大部分人都是那种拿着钱不干事儿的或者敷衍了事的
    AnotherM
        79
    AnotherM  
    OP
       2015-06-24 15:16:07 +08:00 via Android
    @CodeMonkey 感谢,表示我已经装上了Sandboxie和虚拟机,并且关闭了3389端口
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1462 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:13 · PVG 01:13 · LAX 09:13 · JFK 12:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.