作者:
DrDisk (At room man)
2017-05-06 12:02:23*如果你的檔案已經被加密打不開 不用往下看 這篇文章幫不了忙*
家人的電腦也因為瀏覽伊莉而中毒了,
是Win7 64位元,安全性更新只裝到去年10月,
使用分享器給予的虛擬IP以Wifi的方式連線。
奇怪的是明明4/23晚上就裝的「加料版」flash player偽更新,
到了5/6才處理,但電腦不知為何很幸運的完全沒被加密檔案,
但的確有powershell.exe在運作中。
後來參考此篇文章的第一個解決方式:
https://malwaretips.com/blogs/remove-fake-flash-player-update/
下載了Malwarebytes AdwCleaner(請到官方網站下載↓)
https://www.malwarebytes.com/adwcleaner/
並執行就掃出六個東西再以AdwCleaner刪除,以下是AdwCleaner的清除紀錄。
***** [ Folders ] *****
Folder Found: C:\ProgramData\apn
Folder Found: C:\ProgramData\Partner
Folder Found: C:\ProgramData\Application Data\apn
Folder Found: C:\ProgramData\Application Data\Partner
***** [ Files ] *****
File Found:
C:\Users\PeSh\AppData\Roaming\Mozilla\Firefox\Profiles\
k0zmojwt.default-1438095661788\invalidprefs.js
↑偷加到Firefox個人設定檔的java script(應該吧)
***** [ Scheduled Tasks ] *****
Task Found: 00f978a0-541f-5941-3f488924daf0975f
↑這是加在「系統管理工具→工作排程器」裡的鬼東西,
就是這行設定讓你電腦每次重開機後,就會靠它執行powershell.exe。
目前Windows更新而重開機好幾次後都沒在工作管理員看到powershell.exe了,
也還沒看到被加密的檔案。提供給也有中毒的人清除的方式。
題外話:目前電腦裝的是Microsoft Security Essential,軟體更新到最新版也做了
病毒定義檔更新,一樣掃不到以上那六個東西…
我在發現這個問題時第一時間就先移掉Firefox的Flash Player。這可能沒有必要只是
單純不相信「加料版」的Flash Player所以寧願重裝一次。
作者:
ShaoYui (Moon)
2017-05-06 12:13:00感謝分享 我也有下載但那時安裝時被MSE給擋下來刪除了沒安裝成功 回家再檢查看看有沒有中毒
作者:
SuperSg (萌翻天的時代來啦°▽°)
2017-05-06 12:42:00powershell.exe是什麼檔案? 我發現我有一個,但安裝日期是2009年了
作者: catzvicky21 (蒔雨) 2017-05-06 12:55:00
感謝分享 掃出66個檔案 刪除之後powershell.exe 就沒出現了 繼續觀察
powershell.exe是系統本來就有的殼層命令列程式如果要類比的話就是OS X(Un*x)的終端機
作者:
SuperSg (萌翻天的時代來啦°▽°)
2017-05-06 13:31:00所以說這個檔案沒錯,是病毒借用這個檔案搞事這樣?
而這個powershell跟普通的CMD(命令提示字元)概念類似但是Powershell可以透過指令執行腳本而Powershell也可以輸入cmd後下cmd的指令主要還是看那個powershell.exe位置在哪裡我是沒有中過啦,但如果是這樣的話可以推測是透過PS來遠端執行腳本指令
作者:
gwofeng (宮山洋行)
2017-05-06 14:34:00除了工作排程器那個編程,其他都是別的程式的東西似乎也不只能靠工作排程器來啟動而已AdwCleaner或其他防毒軟體有時候也會掃不到
作者:
SuperSg (萌翻天的時代來啦°▽°)
2017-05-06 15:00:00掃好了,掃出了2X個