常年用火狐+uBlock Origin 屏蔽广告，今天访问一个网站，提示我有广告屏蔽插件我就换了 chrome 访问，我的 chrome 是干净的，什么扩展都没装但是他还是提示我安装了广告屏蔽插件，我就点了一下它的提示标语，跳到了一个网站，提示我执行win+Rctrl+venter三部检验是否是机器人我脑子一热，就执行了。等我反应过来，看了下他让我执行的东西，好家伙，开头就是 powershell.exe -W Hidden然后从 finalstepgo.com 下载一个 xxx.txt ，保存起来，并且 iex 执行这个网站 google 就直接提示“此网站可能会损害您的计算机。”了然后我手动下载了 xxx.txt 里的内容，里面更可恶，下载一个 zip 包，解压 exe ，删除 zip 包，执行 exe ，并且把 exe 添加到'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'也不知道有什么后果，我就是傻逼

心态不对，一般遇见提示我装了广告屏蔽插件的网站，我心里想的都是：什么傻逼网站也配让我看广告。XD

建议重装系统

可能要重装系统

就这? 我还以为你是安装了 360 或者 wps 呢

我之前的电脑因为下载软件中了毒, 解决方案是下载 360 进行杀毒, 效果还是不错的, 杀完毒后就把 360 卸载

重装系统吧,别侥幸

遇到此类事情我直接恢复前一日系统镜像

把你访问的那个网站也发出来，让大家研究

这样只恢复 C 盘吧，其他盘可能仍藏有

之前回复过相关帖子，和你的情况一样： hesudu.com/t/1074197

直接重装吧, 日后必有大患

哎，暂时删除了异常注册表字段，exe 文件目前没有发现同名文件残留和注册表残留不知道这个 win+r 拉起来的 exe 权限有多高，目前没有看到可疑进程和服务正在备份重要文件和用火绒杀毒搞完后等出异常再重做系统吧希望大家引以为戒，不要网站让干啥就干啥。一般网站弹窗说请不要用 adb 类工具我都会对该网站禁用屏蔽插件的。因为这些网站的广告通常不刺眼，没想到这次这么可恶，诱导我后台执行 exe

奇怪，这个帖子我进不去，一直弹 cf 人机验证，切节点也没用

加上 www.就可以了。网站界面确实很像，但应该不是同一个作者。因为内容不一样

Linux 用户路过……

胆子真大。。这种不丢虚拟机里跑

改密码，重装系统

这跟执行 rm -rf / 以清理系统有啥区别?

脑袋一抽抽就给绕进去了。这时候就体现出了系统克隆或者还原的好处。

最差的情况：这类脚本服务器可以精心设计保证在 shell 执行和浏览器下载给你不同的输出。建议重装系统

建议重装系统。如果是管理员用户，且 UAC 没有开到最高档的话，可以直接提权。如果是管理员用户，且 UAC 开到了最高档，但是系统是 Win10 或者 Win11 ，在没有做过特殊处理的情况下，仍然有一个漏洞可以利用来提权。

一个网站让你执行 win+r ，这个就很离谱了

不是老哥，看你这个计算机水平，win+r 弹出来的时候还能反应不过来是啥？😂

对不起，我笑了，做这网站的真是人才

前阵子看到这个 krebsonsecurity.com/2024/09/this-windows-powershell-phish-has-scary-potential/我就纳闷win+Rctrl+venter这种东西谁会上当啊没想到还真有某种“脑控”

想到之前玩 wow 打战场，经常有人在聊天框打"按 Alt+F4 查看攻略"然后就是一连串的 xxx 退出战场

当时想的是：这网站真是傻，连我有没有用 adb 都检测错误，一个 win+r 和浏览器毫无关系，我倒要看看能检查个啥？执行完就很后悔😭😭😭😭

"HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"是自启动目录，你只是把落地的马删了，进程里的马清了吗？没清也没用，可能后面人家又一键维权了，建议重装。

当然最坏的情况是它直接读了 chrome 本地密码列表并传走了。。。

啊 ?

＃12 权限的话，就是当前用户的权限，如果禁用了 UAC 警告的话，可以无提示自动提升为管理员，没禁用的话提权默认会弹警告，但如果有提权漏洞利用的话，也许也可以绕过 UAC 警告弹窗直接提权到管理员甚至更高。

按 E 看大虫子层数😂

前段时间见过，感慨这也有人上当...结果还真有

赶紧把登录过的网站都退出然后密码全改了，运行的那时候可能把你 cookie 偷光了

我猜大概率是黄网，大头被小头控制了。

这就是用 Windows 最难受的地方，感觉到处倒是脏东西，只要不是大公司的软件，都会在你系统里拉屎，有时一星期能重装三次系统

有一个工具叫冰点还原，重启之后就很干净。

肉鸡+1

不知道这个 win+r 拉起来的 exe 权限有多高如果你是管理员的话，你会看到这样一句话：就这么高~

不会吧，连这种敏感性都没有？没用过 win+r????????

“我脑子一热，就执行了"一定一定要重装，你手动结束的再快，能快过 cpu 的运算？

可能文件名在 1μs 内就混淆成其他命名了

看标题还以为你被肛了

世界上没有傻逼 只有被逼 而你是 NB

噗~还是反诈强度不高~

就算是普通用户也能把你文件全删了。

这还不全盘格式化重装吗？到时候抄个币全偷了就乐了

“来，运行它”现在给人下马已经这么直接了吗。。。。还真有人照做啊。。

哈哈哈哈哈我也想到这个了🤣不过有一说一，楼主重装系统吧，以防万一。

木马落地了，恶心的就无限复制到各个隐秘的地方，一键就能复原的，怎么删都删不干净，还难找

提示让我关闭屏蔽插件的我都用屏蔽插件屏蔽这个提示:D

要求关闭屏蔽广告插件很正常，比如下载 ios 应用脱壳的那个网站，毕竟人家托管那么多大文件要很多成本的，我就手动关一下但是为什么要求你在本地执行一下操作还能反应不过来，太哈人了

真有这么抽象的啊，我看到这种手法都是针对币圈的

花半天抹盘重装呗. 再下几个大厂的杀毒杀下.

只要你还有防火墙问题就不大，信息传不出去拿到手了也白搭

既然你已经不干净的，不如让大家都来玩玩？？？

发出来让大伙玩玩啊，macOS 老歌来折磨折磨他

啊？真想玩啊？自己注意 mag 访问这个网站会往 idownload.b-c 你的剪贴板里 dn.net/l 塞屎 azobin.html会让你通过 powershell 下载 txt ，然后执行 txt 的内容，下载下面这个 fin 最后 alstepgo.co 解压 m/upl 执行的是这个 zipoads/il11.zip

我倒是没有币，不过听你这么一说，我把电脑上的 ssh key 全部替换了一遍，ssh server 也关了

＃39 就算没申请 UAC 也只是无法进入内核、无法修改系统文件。用户级权限也够恶心一阵了

弱弱问一句，我系统锁 linux ，能不能安装个 wine 来运行它

www.virustotal.com/gui/file/0f4c403ac1d2498023b9cba966302a162e240502c49ad30bce84723965583525