怎么办 按推上说我已经中木马了

[Window Title]
文件资源管理器

[Content]
Windows 找不到“ C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}”。请检查拼写并重试。

[确定]

裸奔很久，没问题。

WinXP/7/10 ，测试了下都没有，都裸奔， 24 小时不关机。。。

@kn007 不一样要全部一样吧。
C:\WINDOWS\Temp\{*****}
我是有两个这样的。

@jqw1992 没有大括号命名的文件夹。。。都木有，看了。。

@kn007
ESET 基本上都不用。
我也差不多裸奔

重装；然后扔了所有国产软件。

黑暗幽灵？

家里 XP 表示没有

可以共享样本吗

没中。

谁会没有 C:\WINDOWS\Temp\xxxx ?

Temp 里 xxx 很正常。。。

据说是通过劫持许多软件的自动更新来感染。
话说都什么年代了，一个软件既不从 https 站点更新，又不对更新包校验签名，这不等于是欢迎劫持嘛。

@TakanashiAzusa
这应该是 GUID ，如果相同的话那基本可以确定是同一个程序留下的。

楼主是不是有些什么特殊背景...这马针对的不是一般的人啊，部分人说是国家队的产物呢...

我觉得和路由固件有很大关系。

为毛我看到麦咖啡很早就探测到了这些东西。 http://home.mcafee.com/virusinfo/virusprofile.aspx?key=2236045#none

麦咖啡在 2013/3/10 就 post 了这个，也提到了 drive.v 这个文件。我看到这里一样的文章 http://drops.wooyun.org/tips/14911 怎么发帖者叫腾讯电脑管家。。。

@subpo 这个好像必须符合后面这样大括号的文件夹，我的 TEMP 目录下没这种的

黑暗幽灵，此木马不为劫财，只为监控，通过 http 劫持感染，专门针对大陆网民。不说了。看来以后在内地上网要全局 ss 或 vpn 了。

@inisun 昨天有人提到有个地区的 LOL 更新，然后都有了。不知道真伪

@subpo
@TakanashiAzusa
C:\WINDOWS\Temp\{*****}
http://drops.wooyun.org/tips/14911

手机上看到这条，还白白兴奋了好久，结果回家一看，没中。。。。好失落啊

@jqw1992 手法精彩

@cnnblike
@inisun

特地翻了一下大括号文件,,没看到有..楼主怎么中的..好知会一下

{AC4F5098-9028-44E5-8215-95029AB25115} 有这个算吗?

仔细看了看文章，的确有些地方奇怪。如 18 楼所说这个木马 2013 年就被 McAfee 发现，而且 McAfee 报告中写了其它知名杀软也早就发现了它。

提权方面木马用了一个 2011 年就出了补丁的 CVE-2011-1249 ，到现在只能影响没打补丁的 Win XP - Win 7 系统了，说明此木马是很久以前的。

现在又被拿出来写文章，有什么意义呢，似乎只是个普通的远程监控类木马，例如灰鸽子

没中。。。。好失落啊

楼主肯定不是一般人，因为： t/271590

@DcmTeamMember 排除阴谋论嫌疑不说, Gov 的监控对象很可能只是"潜在威胁"(比如经常上推查 CCP 的黑历史的)

@salary123 我也不知道怎么就中了

@asher 应该是的吧。我个人觉得。

@DcmTeamMember 一般人啊。真的。

@shippo7 McAfee 报告 的功能比较少啊，威胁等级还是低好奇怪，（ Attempts to launch an instance of the Windows file system explorer.）而腾讯说能干那么多事，两个真是同一个病毒？或者是升级版？

GUID 相同才能判断是同一个程序。

另外明明有很多特征可以判断是否感染，非要看临时文件目录……

@xmh51 江民居然早 4 年就发报告了： http://bbs.kafan.cn/thread-1354867-1-1.html

@shippo7 报告上来看，功能似乎一直在升级改进。 http://bbs.kafan.cn/thread-1354867-1-1.html 例如这个，同一个文件（名称），但是功能上来看，之前的并没有加白名单的操作。

@shippo7 通过 劫持网络 来达到目的。 劫 持 网 络

@xmh51 迈克菲的报告是自动机出的。。不是人工。