电脑疑似中木马持续通过我们的网络给203.108.40.1的路由器发送流量

unscinf101 · 发表于 2026-6-4 12:35

本帖最后由 unscinf101 于 2026-6-4 12:37 编辑

电脑疑似中木马，程序是的名称是Windows文档，在通过我们的网络给203.108.40.1的路由器发送流量
，这个星期已经从这个电脑上上传走了34GB，目前使用杀毒软件杀不掉（360找不到，火绒杀不掉）

Sound · 发表于 2026-6-4 14:28

本帖最后由 Sound 于 2026-6-4 14:29 编辑

异常进程：Idle（系统空闲进程名伪装），实时上传 6.7MB/s，目标网关 / 出口203.108.40.1，

在流量管控页面拉黑内网 IP 192.168.8.xx 然后禁用该设备上网，立刻终止持续外发流量。

打开火绒→【防护中心】→【联网控制】，找到Idle进程，右键打开文件所在目录（正常系统 Idle 无实体 exe 文件，能弹出路径 = 木马本体）。火绒→【病毒查杀】→【自定义扫描】，勾选刚才目录，右键文件→上传火绒云鉴定 + 隔离删除。

路由器侧：在防火墙→访问控制，拉黑外网 IP 段203.108.40.0/24，阻断该恶意服务通信

嘿嘿嘿001 · 发表于 2026-6-4 14:38

这个你是咋分析出来，是不是多观察观察会好点，啥品牌路由

shimeng0624 · 发表于 2026-6-4 14:46

Sound 发表于 2026-6-4 14:28
异常进程：Idle（系统空闲进程名伪装），实时上传 6.7MB/s，目标网关 / 出口203.108.40.1，

在流量管控 ...

分析的有理，垃黑最直接，也算是最有效果的办法。

redhatelnet · 发表于 2026-6-4 14:48

看起来像是锐捷的诺客网址？

HA19683 · 发表于 2026-6-4 15:59

木马怎么进来的？

anning666 · 发表于 2026-6-4 16:48

看起来这款免杀做得不错,居然连某流氓软件都躲过了

lnshijia · 发表于 2026-6-4 17:31

断网后用卡巴斯基试试

foober · 发表于 2026-6-4 17:53

本帖最后由 foober 于 2026-6-4 17:55 编辑

redhatelnet 发表于 2026-6-4 14:48
看起来像是锐捷的诺客网址？

归属地：澳大利亚新南威尔士州圣伦纳兹
运营商：美国世界通信公司
应用场景：机构专线
IPV4：203.108.40.1

AI-Compare · 发表于 2026-6-4 18:43

本帖最后由 AI-Compare 于 2026-6-4 20:11 编辑

https://x.threatbook.com/v5/ip/203.108.40.1
澳大利亚，新南威尔士州圣伦纳兹，威瑞森通信
该ＩＰ近９０天的活跃度较低／未被蜜罐捕获过

系统空闲进程（System Idle Process）不是一个真正的进程。它的进程编号（PID）始终为零。它用于统计系统的空闲时间，即ＣＰＵ在无事可做时所处的状态。

https://www.cppguide.cn/pages/windows10-system-programming-ch03
根据资料，本进程不会主动向不可信地址发包
但这里会反应电脑内其他程序的相关网络活动

wss://broadcast[.]chat[.]bilibili[.]com:7826/sub
例如我该进程内，会有连接几条７８２６连接活动
实际来源是谷歌浏览器内我刷哔哩哔哩的相关后台

建议查询是否是浏览器内或其他进程的相关后台活动
以及将火绒日志里，查杀结果和对应文件打包发出来

https://x.threatbook.com/v5/ip/203.108.40.1
澳大利亚，新南威尔士州圣伦纳兹，威瑞森通信
该ＩＰ近９０天的活跃度较低／未被蜜罐捕获过

帐号		自动登录	找回密码
密码			注册[Register]