Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統 imasa PTT批踢踢實業坊

Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

作者: imasa (便當俠) 2017-05-13 07:58:41

※ 引述《imasa (便當俠)》之銘言：
: 有興趣的人可以看看
:
: http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
:
: 在此就先不浪費篇幅在這post了
:
: 推 bignose0623: 想請問如何知道電腦有無中獎？在檔案尚未察覺被加密 05/13 05:28
: → bignose0623: 前，感謝 05/13 05:28
這裡有偵測的script下載
https://github.com/countercept/doublepulsar-detection-script
或者你也可以下載我改寫後打包起來的程式來偵測:
v1.06
https://mega.nz/#!aQQWEDAA!BuzKVICsuslIGEjgYRyV8gjxnaopivDV_13H0sUIqEE
備用載點:
https://www.mediafire.com/?jiph1b52d3uuwei
執行前請確認檔案有無被偷改過
v1.06 File Info
Executable File SHA1: 3DE8A176F3A8EC4AA33C1DA6B5EB18DFEBDFDEBF
Executable File Size: 9,248,968 Bytes
檢查自己機器時，左鍵點兩下程式就可以了 (XP除外)
下面是程式執行後的偵測結果
現在會直接掃描電腦是否有安裝相關的的 MS17-010 KB
KB號碼參考同討論串其他網友分享的ID
尚未被攻擊:
顯示 No presence of DOUBLEPULSAR SMB implant
http://imgur.com/bhha3st
被攻擊成功:(WanaCrypt0r可能已進行加密中或潛伏期)
http://imgur.com/BXFTu8G
按照我前文的內容把SMBv1協定關閉時
顯示 This machine has already closed SMBv1 protocol
這是我自己加的、原本的script沒有這段，會跳exception
這是win7的範例圖
http://imgur.com/vxjHIth
winXP的範例圖
http://imgur.com/wCqEQzJ
偵測程式的其他用法請參考原始script的說明

作者: akay08 (Ara_K) 2017-05-13 08:15:00

推推

作者: coolcliff01 (OTZ) 2017-05-13 08:18:00

補充一下 Win10 開這會被擋要選擇仍要執行才會動

作者: rbdgemzo (Mark) 2017-05-13 08:20:00

感謝你

作者: abram (科科) 2017-05-13 08:20:00

昨天這麼熱鬧我卻因為林奕含案沮喪到關機逃過一劫冥冥之中也許是林女在保佑我的電腦謝謝啦

作者: luminous214 (bambi) 2017-05-13 08:22:00

請問vista有得補漏洞嗎QQ?我的最後卡在去年的更新但也是一直無法下載，是因為不支援了所以檔案整個沒得載了嗎？謝謝

作者: noddle (noddle) 2017-05-13 08:30:00

推

作者: proletariat (Die Ruinen von Athen) 2017-05-13 08:39:00

在熱門板排名快衝到前10了@@哇嗚已經進前10了

作者: xjp004123 (超級兒) 2017-05-13 08:53:00

win10用了直接跑一下馬上不見，跨某

作者: imasa (便當俠) 2017-05-13 08:55:00

win10不需要用這個本身就沒漏洞了...

作者: xjp004123 (超級兒) 2017-05-13 08:56:00

好的，謝謝

作者: alkahest (==â•(â€²â–½`)â•¯==) 2017-05-13 09:00:00

感謝!

作者: e446582284 (ef225633) 2017-05-13 09:01:00

目前沒中，但本身是盜版win7，更新5月的會藍屏……現在不知道要不要換win10…

作者: germun (ger) 2017-05-13 09:05:00

win10不是沒漏洞, 是正常情況下已經強制幫你更新了...問題是在有沒有更新, 不在win10還win7...

作者: HELLDIVER (Ζｚz...) 2017-05-13 09:09:00

喔喔喔人數持續攀升中

作者: kohinata (坂東隱世武者) 2017-05-13 09:10:00

大半原因是新聞在抱了

作者: chachabetter (chachabetter) 2017-05-13 09:17:00

當初剛裝WIN10覺得強制自動更新很靠盃，現在覺得關掉才是不知死活QQ

作者: bee13014125 (HD2) 2017-05-13 09:19:00

win7 sp1,檔案直接放在C: 顯示已經停止運作不知道跟使用者名稱是中文有沒有關係?

作者: ciaerin (^^) 2017-05-13 09:25:00

昨晚電腦怪怪的，要怎麼知道自己有沒有中啊

作者: imasa (便當俠) 2017-05-13 09:25:00

路徑請不要有中文

作者: ciaerin (^^) 2017-05-13 09:27:00

我的意思是...我不敢再練網了，沒練網的情況下可以知道嗎

作者: bee13014125 (HD2) 2017-05-13 09:29:00

我直接放在C:\底下耶完全沒中文

作者: paul40807 (ㄏㄏ弟) 2017-05-13 09:33:00

推這篇

作者: andylee84126 (andylee) 2017-05-13 09:37:00

我打開來以後顯示點任意鍵繼續但點下去後就跳出了

作者: b24333666 (比飛笨) 2017-05-13 09:38:00

推

作者: okitasoshi (八極李書文) 2017-05-13 09:38:00

這一定要推

作者: geesupreme (Andy) 2017-05-13 09:40:00

推!

作者: mrporing (æ³¢åˆ©å…ˆç”Ÿ) 2017-05-13 09:46:00

昨天沒開機，早上起來看到就想拔儲存槽，只留系統槽更新

作者: HELLDIVER (Ζｚz...) 2017-05-13 09:48:00

我的習慣是用外接盒但系統碟裡的檔案就沒辦法了

作者: b24333666 (比飛笨) 2017-05-13 09:48:00

W10開起會閃跳

作者: F16V (Manners maketh man.) 2017-05-13 09:50:00

請教目前有win8的災情嗎還是都8.1?

作者: HELLDIVER (Ζｚz...) 2017-05-13 09:50:00

win8都在中槍名單中

作者: F16V (Manners maketh man.) 2017-05-13 09:51:00

gg QQ

作者: carlyu (EVA-288(Carl)) 2017-05-13 09:53:00

請問出現closed是否也代表沒有被implant?謝謝

作者: tzback (籽別顆) 2017-05-13 09:55:00

我Win10也是閃一下就關了什麼都沒看到

作者: bignose0623 (Tim) 2017-05-13 09:58:00

感謝

作者: alex90236 (洋蔥) 2017-05-13 09:58:00

幫推感謝強者幫忙整理

作者: tonyxfg (tonyxfg) 2017-05-13 10:04:00

請問我點了後，出現無法連線，因為目標電腦拒絕連線，這是代表什麼情況?

作者: HELLDIVER (Ζｚz...) 2017-05-13 10:06:00

就關起來了這樣

作者: tonyxfg (tonyxfg) 2017-05-13 10:08:00

喔喔，所以這代表我的電腦已經堵上這個洞了嗎?非常感謝

作者: daidairu (呆呆儒) 2017-05-13 10:11:00

我想請問一下這支程式假如我已經中毒了但後來關掉SMB那顯示結果會是你被攻擊了還是你關SMB 所以安全了?

作者: squrar (無垠的天空) 2017-05-13 10:14:00

http://imgur.com/NcXk592 win10跑這樣算安全?

作者: Seattle995 (995) 2017-05-13 10:17:00

win10 會怕！所以早上就1607更新成1703了 @@

作者: r1426000000 (Di) 2017-05-13 10:20:00

那要怎麼樣關閉SMBv1呢?

作者: hn9480412 (ilinker) 2017-05-13 10:20:00

Vista可以補到4月份以前的漏洞

作者: andrewyllee (吉他吉他) 2017-05-13 10:21:00

我電腦沒那個協定耶 W7

作者: hsr7016 (~å¤©ç†å–µ~) 2017-05-13 10:31:00

為啥我路徑也沒中文還是依開啟就當掉?

作者: hjhj002244 (飛天遁地土撥鼠) 2017-05-13 10:32:00

請問中毒的話NAS也會被感染嗎

作者: imasa (便當俠) 2017-05-13 10:32:00

我更新了偵測程式，請重新下載會根據不同windows而有不同的行為，請參考更新後的內文主要更新內容是win10會跳過、xp需要手動輸入IPvista需要在別台電腦測試

作者: kreuzritter (Sundance Kid) 2017-05-13 10:34:00

請問昨天Avast攔截到一次mssecsvc.exe，剛剛搜尋電腦，未發現有相關的檔案這樣算攔截成功可放心，還是已經中標等哪天自己引爆了？(win7)

作者: playerkilled (揪團看電影) 2017-05-13 10:38:00

感謝I大的文章

作者: matsuri (Lady Bhaalspawn) 2017-05-13 10:39:00

請問，我是照前文關掉SMB1以後才跑偵測軟體，

作者: MakiseKurisu (@cher) 2017-05-13 10:39:00

所以要再重新下載一次嗎~?mega中的那個檔案

作者: squrar (無垠的天空) 2017-05-13 10:40:00

再下一次吧 I大有修正了

作者: matsuri (Lady Bhaalspawn) 2017-05-13 10:41:00

雖然偵測軟體顯示已經關掉，會不會還是有發作的風險？

作者: MakiseKurisu (@cher) 2017-05-13 10:42:00

好的感謝~ 也有在更新檔案中看到新的txt檔

作者: imasa (便當俠) 2017-05-13 10:43:00

如果別的病毒偷開或是手殘把SMBv1又打開就會有風險

作者: Rock0930 (這就是人蔘...) 2017-05-13 10:43:00

感謝大大無私分享

作者: matsuri (Lady Bhaalspawn) 2017-05-13 10:44:00

筆電重灌回到WIN8後就沒法上8.1，現在挫咧等XD

作者: gemini2010 (gemini) 2017-05-13 10:51:00

問題是我現在不敢連網RRRRRR

作者: Ejaculation (小易) 2017-05-13 10:52:00

為啥我也是一打開就停止運作感恩大大教我

作者: kondoyu (pppk) 2017-05-13 10:55:00

有中毒是用撥接還是用分享器上網的

作者: imasa (便當俠) 2017-05-13 10:55:00

Ejaculation能傳張圖給我看看嗎? 停止運作的圖

作者: HELLDIVER (Ζｚz...) 2017-05-13 10:56:00

不曉得不過我用分享器上網沒中槍當然現在已經更新了

作者: qama (G.M.T.) 2017-05-13 10:57:00

[email protected]@ 謝謝

作者: LightEcho (光音) 2017-05-13 11:01:00

所以先把SMB關掉再下載偵測軟體嗎？

作者: johnsky75 (Sky) 2017-05-13 11:05:00

感謝!!!!

作者: XAIOQ (xaioq) 2017-05-13 11:06:00

想借問一下如果筆電是雙系統這樣是不要切到windows那邊就可以嗎還是也要更新

作者: newage5566 (56新世紀) 2017-05-13 11:07:00

開啟程式都錯誤..路徑都英文了啊

作者: cospergod (cospergod) 2017-05-13 11:10:00

感謝您的熱心

作者: tzback (籽別顆) 2017-05-13 11:11:00

感謝大神更新後可以了 http://i.imgur.com/qwOXNSl.png

作者: slfantasy 2017-05-13 11:13:00

請問WIN10看更新紀錄是要更新哪個才算安全~

作者: kaine130243 (冰狩) 2017-05-13 11:14:00

小弟的windows服務中。沒看到smb欸。這是代表？

作者: kevin135k (ABJ MAN) 2017-05-13 11:16:00

感謝先處理起來避免萬一

作者: Blueelephant 2017-05-13 11:19:00

請問W7 4月底有更新這樣還需要更新嗎?

作者: levihanji (團團) 2017-05-13 11:20:00

好奇問一下這病毒會影響家中wifi嗎

作者: ariawind (亞里亞) 2017-05-13 11:21:00

開啟錯誤，路徑都英文 http://imgur.com/lWVC2nV

作者: tzback (籽別顆) 2017-05-13 11:22:00

#1P5UOwpc 7/8.1看更新代碼有沒有更新到

作者: imasa (便當俠) 2017-05-13 11:24:00

ariawind請問你的作業系統版本是?

作者: megxz (黑色疾風) 2017-05-13 11:25:00

請問一下，執行完後 http://i.imgur.com/4oxz2aY.png

作者: ariawind (亞里亞) 2017-05-13 11:25:00

回imasa win7 我剛剛有把smb1設成數值0

作者: Autumn06513 (阿丸) 2017-05-13 11:30:00

跟樓上一樣WIN7但執行檔案會出現停止運作QQ

作者: megxz (黑色疾風) 2017-05-13 11:32:00

這樣是有關掉嗎？

作者: gemini2010 (gemini) 2017-05-13 11:32:00

請問 http://i.imgur.com/4oxz2aY.png 代表沒有病毒潛服且有關掉SMBv1嗎? 還是只代表有關掉SMBv1?

作者: eyeonme (看什麼看) 2017-05-13 11:33:00

開啟錯誤如圖 http://imgur.com/a/ZF8Yx 請問怎麼辦?

作者: Adven (電風扇) 2017-05-13 11:34:00

@gemini2010,有readme.txt可以看喔

作者: lovejamwu (阿發我愛你!!!) 2017-05-13 11:37:00

我是win7完了我都沒在更新....

作者: MiharuHubby (點兔喵PASS教掌門) 2017-05-13 11:37:00

我也是開啟錯誤，路徑都英文

作者: eyeonme (看什麼看) 2017-05-13 11:38:00

自己回自己以解決我原本的使用者名稱是中文後來新增一

作者: Shichimiya (便當) 2017-05-13 11:38:00

我也開啟錯誤路徑都英文

作者: ToujouAya (æ±åŸŽç¶¾ã®æ—¦é‚£) 2017-05-13 11:41:00

有沒有人願意教第一個連結下載後怎麼使用QQ

作者: Shichimiya (便當) 2017-05-13 11:42:00

喔喔用樓樓上的方法成功了感謝

作者: imasa (便當俠) 2017-05-13 11:43:00

原來是中文使用者，感謝補充

作者: ariawind (亞里亞) 2017-05-13 11:43:00

imasa 我使用者帳戶改成英文也不能耶，要重開?

作者: Shadow5566 (小小書僮) 2017-05-13 11:43:00

請問一下，如果win7有更新，而且用i大的程式包掃過也

作者: laechan (揮淚斬馬雲) 2017-05-13 11:43:00

我xp,第二個連結下載後解壓縮,資料夾名我直接改123,放到

作者: laechan (揮淚斬馬雲) 2017-05-13 11:44:00

C:\底下,再對執行檔按右鍵選新增捷徑,然後改捷徑執行為C:\123\detect_doublepulsar_smb.exe --ip xxx.xxx.xxx.x這樣直接點捷徑就會執行了,剛掃描完 safe, 感謝原poXP使用者可以開防火牆,到[例外]那邊,把vnc,遠端相關的取消打勾,我的電腦按右鍵選內容,點[遠端],那邊也取消打勾

作者: zaq1qwer (王元姬大好>///<!) 2017-05-13 11:49:00

請問我已經中招了我進入安全模式把有wana的檔案都刪之後還是可以繼續用這顆硬碟嗎? (非系統碟) 謝謝回答~

作者: eelse (This is Sparta) 2017-05-13 11:51:00

感謝，測試完畢正常

作者: r1426000000 (Di) 2017-05-13 11:53:00

想請教大家，我已經新增了，但檢測程式跑完沒有出現關閉的字樣

作者: geken (Goblin & Koblod) 2017-05-13 11:54:00

感謝

作者: r1426000000 (Di) 2017-05-13 11:54:00

我的路徑也都是英文，到底是哪個環節出了問題呢

作者: laechan (揮淚斬馬雲) 2017-05-13 11:56:00

你系統是什麼?

作者: r1426000000 (Di) 2017-05-13 11:56:00

Win7！

作者: laechan (揮淚斬馬雲) 2017-05-13 11:58:00

你這樣就是掃完了吧,第二張圖

作者: imasa (便當俠) 2017-05-13 11:58:00

名字錯了，是SMB1

作者: r1426000000 (Di) 2017-05-13 12:00:00

http://i.imgur.com/7n0LIQT.jpg已更正，重開機試試看

作者: minihyde (minihyde) 2017-05-13 12:00:00

在LanmanServer中的Parameters新增DWORD才能關閉

作者: r1426000000 (Di) 2017-05-13 12:01:00

好！！我終於找到問題了...謝謝各位感激不盡...

作者: UppityuniQue (一個抱枕抱了20年) 2017-05-13 12:02:00

我是Win7，按任意鍵繼續後視窗就關掉了，請問是什麼原因呢?

作者: r1426000000 (Di) 2017-05-13 12:05:00

謝謝大家，成功關掉了

作者: Leaves1014 (ㄜㄜ) 2017-05-13 12:12:00

SMB1 已設定但是用 netstat 依舊是 listening只要用程式掃 ok 就沒關係嗎？

作者: skvis (乳房觀察家) 2017-05-13 12:18:00

按任意鍵本來就會關掉你要看上面那排英文寫什麼

作者: a47135 (金屬史萊姆) 2017-05-13 12:19:00

請問訊息是No presence of DOUBLEPULSAR SMB implant代表就不會中這個勒索病毒了嗎?

作者: skvis (乳房觀察家) 2017-05-13 12:21:00

是顯示尚未被攻擊

作者: a47135 (金屬史萊姆) 2017-05-13 12:22:00

因為本篇是說尚未被攻擊或是已安裝更新，好像沒辦法分出來到底是已經安裝更新不怕惹還是還沒被攻擊

作者: joeylord (袋鼠王) 2017-05-13 12:23:00

windows 10不用測 https://goo.gl/uXs1AV

作者: bks9587 (None) 2017-05-13 12:24:00

請問我可以開啟但按了任意鍵繼續後就直接消失是什麼問題?

作者: Leaves1014 (ㄜㄜ) 2017-05-13 12:25:00

表示程式已跑完要看「任意鍵繼續」上一行英文內容

作者: a47135 (金屬史萊姆) 2017-05-13 12:26:00

任意鍵繼續就是表示跑完了阿....任意鍵按下去自然會關閉

作者: imasa (便當俠) 2017-05-13 12:29:00

修正中文路徑問題，應該可以用中文了，中文使用者再確認https://goo.gl/kfNh5a 下載連結短網址

作者: dd614 (dd614) 2017-05-13 12:29:00

win8跑一下就跳到掉正常嗎?

作者: hsr7016 (~å¤©ç†å–µ~) 2017-05-13 12:30:00

http://i.imgur.com/HDLiOhB.png 全英文路徑 WIN8.1一開啟就當掉了

作者: imasa (便當俠) 2017-05-13 12:31:00

樓上請下載新版本試試

作者: UppityuniQue (一個抱枕抱了20年) 2017-05-13 12:34:00

感謝a大回我，原來是我自己耍笨了...

作者: tab222777 (阿馬^0^) 2017-05-13 12:35:00

所以XP顯示refused SMBv1是代表還沒被攻擊和潛伏嗎?

作者: hsr7016 (~å¤©ç†å–µ~) 2017-05-13 12:36:00

可以執行了但跳出closed SWBv1的提示的話要再重開在測?

作者: ggoutoutder (女朋友的左手) 2017-05-13 12:40:00

問一下我沒辦法更新怎麼辦他一直在檢查更新

作者: yizhe (rouyy) 2017-05-13 12:40:00

沒有"尚未被攻擊或已裝KB"提示，只有"SMB關閉"提示就好嗎?

作者: cbstgb (你逆) 2017-05-13 12:43:00

感謝版大跟推文大大教學終於成功了

作者: log65320 (Logarithm) 2017-05-13 12:44:00

推

作者: ericthree (如果她這樣動人) 2017-05-13 12:49:00

推推

作者: thbw666 (富和尚) 2017-05-13 12:50:00

感謝原po

作者: a410046 (a410046) 2017-05-13 12:52:00

太感謝了

作者: lovecoffee (力不從心) 2017-05-13 12:58:00

我是win8.1 也是一開馬上跳掉我剛剛12點47分下載的QQ 路徑全英文

作者: imasa (便當俠) 2017-05-13 12:59:00

樓上你這個是其他問題我正在想辦法解決

作者: argoth (熾眼) 2017-05-13 13:01:00

SHA1是不是有變動過了？

作者: a47135 (金屬史萊姆) 2017-05-13 13:01:00

想請問一下原PO，尚未被攻擊和已安裝KB更新都是同樣訊息還是說如果沒裝KB(漏洞還是存在)但是尚未被攻擊的情況下會有其他訊息提示?

作者: ss910126 (LEE) 2017-05-13 13:03:00

請問，我只有顯示NO PRESENCE那行並沒有顯示已經關閉SMBV1 我已經照原PO上一篇的方式操作過了

作者: Hajimi (逆向思考全壘打!!) 2017-05-13 13:04:00

感謝大神，推推！

作者: lovecoffee (力不從心) 2017-05-13 13:05:00

http://i.imgur.com/23PG4YL.jpg我趁他消失前截圖下來請問這是哪邊錯誤呢感謝我才看到原po回覆，謝謝您，再麻煩了 QQ

作者: LT26i (圖書館) 2017-05-13 13:06:00

win7 應該成功關閉SMB1了 http://i.imgur.com/4IAlvS2.jpg感恩!!!

作者: ss910126 (LEE) 2017-05-13 13:07:00

我已經解決了，再次感謝原PO各位要注意把機碼名稱 SMB1

作者: milddawn (麥) 2017-05-13 13:08:00

http://i.imgur.com/LRcgIMi.jpg

作者: ss910126 (LEE) 2017-05-13 13:08:00

注意機碼名稱改成SMB1

作者: moneypack3 (錢包三號) 2017-05-13 13:08:00

解壓縮檔案大小不符耶，是我下載錯了嗎

作者: OOQ (..............) 2017-05-13 13:11:00

檢測完成感謝

作者: zelkova (*〞︶〝*) 2017-05-13 13:12:00

請問安裝windows更新之後還需要裝這個嗎?

作者: imasa (便當俠) 2017-05-13 13:13:00

@milddawn 改了，請對照readme文件內的SHA1

作者: HowardxApple 2017-05-13 13:14:00

淚推你專業

作者: n12052233g (ceaseme這樣 ) 2017-05-13 13:23:00

win8.1一開就自動關掉視窗怎麼辦呢

作者: milddawn (麥) 2017-05-13 13:31:00

謝!

作者: LightEcho (光音) 2017-05-13 13:31:00

不好意思請問一下這樣SMB有關掉了嗎？(win7)http://i.imgur.com/GoH9mCP.jpg

作者: luminous214 (bambi) 2017-05-13 13:35:00

可是我的vista一直無法更新，都停在0不會動 …只能這幾天先別開機orz

作者: imasa (便當俠) 2017-05-13 13:36:00

@LightEcho 對、改好記得重開機

作者: revolute ( somewhere ) 2017-05-13 13:44:00

推熱血

作者: LightEcho (光音) 2017-05-13 13:48:00

那有不用連網就能檢查電腦是否有病毒的辦法嗎？很害怕一連網就中標(已經更新到五月版本 5/12更新)不好意思麻煩您了

作者: newage5566 (56新世紀) 2017-05-13 13:50:00

中文名稱版本可執行，檢查已關閉SMB1，謝謝原PO

作者: chi12345678 (to Terabithia) 2017-05-13 13:57:00

已改QQ感謝

作者: GhriS (童貞肥宅) 2017-05-13 13:59:00

記得win10也有這漏洞但好像沒更新也不會中?

作者: ashkaze (畏怕陽光) 2017-05-13 13:59:00

請問我是先手動關閉SMB再下載偵測程式檢查，如果也是出現已關閉訊息代表目前機器無漏洞是不是?

作者: Yakiko (第三十五番號) 2017-05-13 14:09:00

感謝掃完顯示已關閉SMBv1

作者: abram (科科) 2017-05-13 14:21:00

感謝把路由器445 port關閉確實就顯示已經關閉SMB了

作者: lynked (左手不只是輔助而已) 2017-05-13 14:30:00

mega下載來的檔案SH1跟原po提供的不符耶？？

作者: Dkky (太妍魂) 2017-05-13 14:32:00

File SHA1: 7D4F81F475A96BD28403F6F2E76C054DA62A1C3E

作者: imasa (便當俠) 2017-05-13 14:34:00

抱歉是我文章沒更新到你貼的這SHA1是正確的

作者: Dkky (太妍魂) 2017-05-13 14:35:00

readme檔案裡面寫的

作者: powerg5 (mac) 2017-05-13 14:36:00

我從MEGA下載的檔案其SHA1和dkky提供的不同http://i.imgur.com/VjshGmC.png壓縮檔的內容難道有再改動過嗎?

作者: Dkky (太妍魂) 2017-05-13 14:40:00

解壓縮後的exe檔 SHA才是我貼的那一串

作者: imasa (便當俠) 2017-05-13 14:42:00

@powerg5 你這是壓縮檔的SHA1，我寫的是裡面執行檔的

作者: wsx26997785 2017-05-13 14:42:00

如果顯示潛伏期該怎麼解決?

作者: yao7174 (普通的變態) 2017-05-13 14:46:00

win8.1 下載顯示11點半左右更新的還是會直接跳掉耶

作者: wade520 (wade) 2017-05-13 14:47:00

關掉SMB還需要更新嗎??

作者: beckyH (becky) 2017-05-13 14:56:00

請問是先關掉SMB1然後下載偵測之後再更新嗎？445port也要

作者: ariawind (亞里亞) 2017-05-13 14:56:00

感謝imasa大，新版已可以使用已關閉 SMBv1協定想問一下之後還需要打開他嗎?

作者: imasa (便當俠) 2017-05-13 15:02:00

@wade520 關掉SMBv1只是救急，還是請盡快更新@ariawind 不用開了那是老舊的東西

作者: aaa89025 2017-05-13 15:05:00

問一下蠢問題，關閉SMB後中華電信的小烏龜wifi會受到影響嗎.謝謝

作者: andy0526 (唉) 2017-05-13 15:07:00

顯示 No presence of DOUBLEPULSAR SMB implant就OK了?不懂SMBv1協定?

作者: Phaeton (凰呀的鳴叫~) 2017-05-13 15:14:00

謝謝imasa，但是想請問現在win7 執行是關掉SMBv1而已，這樣就可以? win10的兩台電腦是都正常更新就說不用檢查非常謝謝原po教學

作者: wade520 (wade) 2017-05-13 15:17:00

感謝imasa解答

作者: rininan (蔥爆雞柳斬) 2017-05-13 15:18:00

很久沒用電腦了躲過一劫，感謝原po教學

作者: Duncan0722 2017-05-13 15:23:00

不好意思想請問一下樓主，如果我中毒前有將部分檔案放入手機裡面，之後我電腦重灌win10，手機再插入電腦後，電腦還有可能因為手機裡面以前的檔案而再次中毒嗎，手機裡面的檔案也會被影響到嗎，謝謝您

作者: miaomiao35 (整個星群無人不病) 2017-05-13 15:28:00

感謝大神相助大神一生平安!

作者: confri427 (輔導) 2017-05-13 15:30:00

照原PO的方法關SMB 但是偵測程式還是跳尚未被攻擊那行?

作者: semih (Sayginer) 2017-05-13 15:32:00

請問xp已關掉SMBv1和已下載更新KB4012598 偵測出來只顯示關SMBv1 但沒顯示No presence of DOUBLEPULSAR SMB implant請問這是哪邊沒注意到 ?

作者: miaomiao35 (整個星群無人不病) 2017-05-13 15:35:00

顯示關掉SMB1就是安全了吧?

作者: horseorange (橘小馬) 2017-05-13 15:40:00

推

作者: icemc (ice) 2017-05-13 15:50:00

semih 我跟你一樣沒顯示那行不過上網站測已經安全了

作者: Usecase (Use Case) 2017-05-13 15:56:00

請問如果是windows server 2012 r2，有辦法執行這支檢測程式嗎？謝謝

作者: willix83 (willix) 2017-05-13 15:58:00

載點掛了!?

作者: link5566 (連結56 連接你我) 2017-05-13 16:01:00

載點掛了有人能補嗎?

作者: Wall62 2017-05-13 16:01:00

icemc大請問你是上什麼網站測的

作者: imasa (便當俠) 2017-05-13 16:14:00

我剛才在更新程式，不好意思馬上補載點

作者: idfpigeon (Dirk41) 2017-05-13 16:18:00

他跑完會自己關掉欸還來不及看到訊息QQ

作者: imasa (便當俠) 2017-05-13 16:20:00

請問樓上的windows版本是?

作者: icemc (ice) 2017-05-13 16:21:00

20593那篇裡提到的 https://doublepulsar.below0day.com/

作者: hornybaron (好色巴龍) 2017-05-13 16:21:00

推一個正在做預防工作非常謝謝你分享的內容

作者: ABC0000 ( AAA ) 2017-05-13 16:22:00

我的win7 跑完也會直接關掉

作者: lovelylion2 (麻署鼠) 2017-05-13 16:23:00

http://i.imgur.com/MMfxT0A.png TypeError

作者: n12052233g (ceaseme這樣 ) 2017-05-13 16:23:00

I大我的也會我開起來後視窗自動關掉我是win8.1

作者: Sallina (琉璃子 ) 2017-05-13 16:23:00

我的win7跑完也是很快關掉

作者: infi23 (流浪) 2017-05-13 16:24:00

我也被關掉了QQ

作者: gary78123 (好人) 2017-05-13 16:25:00

Win7跑完會自己關掉

作者: hornybaron (好色巴龍) 2017-05-13 16:26:00

剛剛抓完 Win7 跟樓上一樣跑完直接關掉來不及看QQ

作者: jedisteven (低調的低調) 2017-05-13 16:27:00

我的win7跑完也是很快關掉看不到訊息QQ

作者: JieshinRS (油水夫夫住我家樓上) 2017-05-13 16:27:00

http://i.imgur.com/fGkRro6.jpg這樣是什麼意思QAQ

作者: Livia222 ( ) 2017-05-13 16:28:00

也是來不及看到訊息，就自動關閉了。

作者: warrigal (ALPHA) 2017-05-13 16:28:00

推熱心的高手請問假如後來才把smb關掉可是之前就中毒會顯示什麼呢

作者: idfpigeon (Dirk41) 2017-05-13 16:30:00

我的是win 7 旗艦山寨板

作者: roveralex (菜餅) 2017-05-13 16:30:00

感謝分享

作者: imasa (便當俠) 2017-05-13 16:31:00

@JieshinRS 那是debug用的訊息可以不管他

作者: Wall62 2017-05-13 16:31:00

iceme大感謝

作者: JieshinRS (油水夫夫住我家樓上) 2017-05-13 16:32:00

所以這樣是有關掉ok的嗎還是有中毒……不好意思我是電腦白痴QAQ

作者: lkj12tw 2017-05-13 16:32:00

win7跑完自己關掉+1

作者: noise5566 (雜訊56) 2017-05-13 16:33:00

感謝你

作者: sid19881025 (小龜) 2017-05-13 16:34:00

感謝大大..真的感謝大大

作者: iamdavidga (蝦貓) 2017-05-13 16:42:00

http://imgur.com/pizBJ0g

作者: ESC5566 (退出五六) 2017-05-13 16:42:00

有用有推!!

作者: Sallina (琉璃子 ) 2017-05-13 16:44:00

請問能放回前面那一版的測試程式嗎?這一版的跑完會跳掉

作者: catchco 2017-05-13 16:45:00

win7 跳掉+1

作者: peter840606 (Balalaika) 2017-05-13 16:48:00

請問跳出This machine has already close SMBv1....是只代表關閉了協議還是同時代表關閉協議和沒中毒

作者: Backmann (Backmann) 2017-05-13 16:50:00

http://i.imgur.com/Jw3IsxQ.jpgTypeError是指＞＜？

作者: vester ( ) 2017-05-13 16:53:00

一直更新失敗，何解?

作者: alyh (矮栗盒) 2017-05-13 16:54:00

有做更新跑程式有顯示找到最新的KB更新但跟上面一些板友貼的圖一樣下面顯示TypeError 然後跑完秒關 >"<

作者: imasa (便當俠) 2017-05-13 16:57:00

TypeError應該已經修復了，請重新下載新版

作者: c309023 (Esther) 2017-05-13 16:57:00

謝謝大大，可以安心了

作者: olelehas (ytw) 2017-05-13 16:58:00

謝謝原PO，辛苦了

作者: peter840606 (Balalaika) 2017-05-13 16:58:00

@imasa 那請問跳出已經關閉協議也同時代表沒中毒嗎?

作者: alyh (矮栗盒) 2017-05-13 17:02:00

謝謝原PO 辛苦你了檢查完畢沒有問題~

作者: mapledog (LD) 2017-05-13 17:04:00

感謝I大新版成功跑完未檢測出真的辛苦你了!!

作者: Backmann (Backmann) 2017-05-13 17:08:00

感謝i大！新版顯示SMB1已關閉！太開心了！

作者: iamdavidga (蝦貓) 2017-05-13 17:10:00

感謝I大真心感謝您 QQ

作者: maydayue (清楓翔羽) 2017-05-13 17:16:00

謝謝i大，不過我跑出來只顯示SMBv1已關和找到KB4019264沒有顯示有沒有被攻擊

作者: omanorboyo (omanorboyo) 2017-05-13 17:18:00

win7點完就跳掉怎辦?

作者: alyh (矮栗盒) 2017-05-13 17:19:00

樓上是載到舊版嗎? 剛剛更新過的版本應該不會跳掉了 @@

作者: pths313 (萌夯獵人) 2017-05-13 17:20:00

用了104版還是會跳掉呢

作者: happysunny 2017-05-13 17:23:00

請問關閉這個會影響到什麼功能呢？想知道自己平常會不會用到

作者: omanorboyo (omanorboyo) 2017-05-13 17:29:00

有了104版本可行感謝大大

作者: iSad56 (窩南果) 2017-05-13 17:31:00

求救 win7點完就跳掉https://goo.gl/cukAcj (影片)

作者: tsaumond (孟德) 2017-05-13 17:31:00

請問一下有顯示KB4xxxxxx found是否就是代表漏洞已補好?

作者: ERQQ (EQQR) 2017-05-13 17:31:00

win7跳掉 +1

作者: imasa (便當俠) 2017-05-13 17:35:00

你們請先下載新版試試看，看影片你像是用舊版本的@happysunny 關閉SMBv1 windows應該會去用SMBv2

作者: Adven (電風扇) 2017-05-13 17:37:00

感謝更新版本

作者: catchco 2017-05-13 17:39:00

請問跑完是顯示already"refused" SMBv1...是一樣的意思嗎

作者: SeTeVen 2017-05-13 17:40:00

請問win8怎麼辦QQ

作者: higuma47 (熊) 2017-05-13 17:44:00

請問win7執行後跳出UnicodeEncodeError怎麼辦QQ，有確定是用104版本，檔案路徑也確定只有英文…這是錯誤訊息的截圖 http://i.imgur.com/3UxJlZa.jpg

作者: lovecoffee (力不從心) 2017-05-13 17:46:00

請問更新版本是？我今天12點47分下載的一樣是開了馬上跳掉@@

作者: SpaghettI101 (瞧到床頭自然直) 2017-05-13 17:48:00

請問一下win7用104版一樣閃退，附上閃退瞬間截圖：http://i.imgur.com/fR09RCl.jpg

作者: alyh (矮栗盒) 2017-05-13 17:49:00

@love 剛剛下午16:56有最新版本更新喔重載看看吧

作者: lovecoffee (力不從心) 2017-05-13 17:51:00

好的感謝您

作者: pths313 (萌夯獵人) 2017-05-13 17:56:00

跟SpaghettI101很類似的情況閃退~win7是32位元的阿~跟higuma47的相同才是~完全一樣的內容

作者: iSad56 (窩南果) 2017-05-13 17:58:00

https://goo.gl/UOBMON (104版任意鍵後跳出)[WIN7]再拜託大大

作者: alyh (矮栗盒) 2017-05-13 18:04:00

樓上你的影片就不能放個安全點的地方像是YOUTUBE嗎? =_=

作者: OSAME (平凡男) 2017-05-13 18:04:00

I大新版1.04反而XP 32位元會錯誤原本1.01正常

作者: jerrywalker (walker) 2017-05-13 18:09:00

請問更新完還要打開SMBv1嗎? 已確定關掉和安裝更新了

作者: acro72 (let me think about it) 2017-05-13 18:11:00

XP執行出現AttributError的訊息 http://imgur.com/a/3XEb2

作者: iSad56 (窩南果) 2017-05-13 18:14:00

https://youtu.be/KEbEYMbEgug 抱歉重傳了(104版任意鍵後跳出)[WIN7] (youtube重傳)

作者: OSAME (平凡男) 2017-05-13 18:15:00

XP我用101版沒問題我剛剛刻意試兩個版本

作者: imasa (便當俠) 2017-05-13 18:18:00

@iSad56 這樣的運作方式是正常的我沒看到什麼錯誤?@OSAME 因為101還不會掃描XP的KB

作者: lovecoffee (力不從心) 2017-05-13 18:23:00

有成功了再下載一次就可以了！感謝

作者: imasa (便當俠) 2017-05-13 18:23:00

已更新1.05連結、發生問題的人請下載新版試試看

作者: lovecoffee (力不從心) 2017-05-13 18:24:00

以前我也是都不安裝更新的，最近兩年買新電腦才開始讓它更新，只要是重要更新，更下去就是了QQ

作者: iSad56 (窩南果) 2017-05-13 18:26:00

但是我沒有看到No presence of DOUBLEPULSAR SMB implant

作者: zxcv820421 (常磐くるみ的老公) 2017-05-13 18:26:00

問一下點大大提供的打包程式直接是顯示說This machine has already closed SMBv1 protocol這樣是成功了嗎?

作者: jpfly (暱稱j:p 小寫、冒號) 2017-05-13 18:26:00

請問1.05版是否可以增加mega以外的載點？>人<

作者: flywan (福來旺) 2017-05-13 18:29:00

剛下載新版跑完立刻消失 http://imgur.com/a/0yl4W這樣是ok嗎?

作者: wunno (偏逢連夜雨) 2017-05-13 18:30:00

請問若偵測被攻擊成功但似乎還沒有檔案被加密(?) 那這時

作者: lovecoffee (力不從心) 2017-05-13 18:30:00

我成功的是104版本

作者: wunno (偏逢連夜雨) 2017-05-13 18:31:00

才開始關SMB1 安裝更新檔來的及嗎? 或是直接重灌了? 謝謝

作者: duringtime (撲撲) 2017-05-13 18:34:00

1.05 XP檢測成功....1.04 掃KB會閃退

作者: imasa (便當俠) 2017-05-13 18:38:00

@flywan 有1.05了喔，請改用1.05試試看備用載點https://www.mediafire.com/?kiocmycua82heng

作者: DaringDo (天馬無畏) 2017-05-13 18:40:00

XP要怎麼執行?@@

作者: ShiinaMayuri (嘟嘟嚕) 2017-05-13 18:41:00

請問先關SMBv1 再做偵測這順序對嗎???

作者: imasa (便當俠) 2017-05-13 18:43:00

可以@DaringDo 要打開命令列，開始->執行->輸入cmd

作者: acro72 (let me think about it) 2017-05-13 18:44:00

感謝~新版的在xp可以正常檢測了~

作者: kaorucyc (Yang) 2017-05-13 18:45:00

1.05執行成功

作者: DaringDo (天馬無畏) 2017-05-13 18:46:00

喔喔我抓的是1.04

作者: aa82732664 2017-05-13 18:46:00

如果用大大的程式沒被攻擊會顯示什麼出來呢

作者: iSad56 (窩南果) 2017-05-13 18:47:00

105版跟104版狀況一樣任意鍵後跳出沒看到結果 [win7]再麻煩大大幫忙

作者: DaringDo (天馬無畏) 2017-05-13 18:52:00

喔我會了.. 感謝回答@@

作者: qwertasdfgh (希萬法藏) 2017-05-13 18:52:00

執行前請確認檔案有無被偷改過，請問要怎麼確認呀?

作者: imasa (便當俠) 2017-05-13 18:52:00

@iSad56 從你的影片來看你的SMBv1已經關掉了

作者: flywan (福來旺) 2017-05-13 18:53:00

1.05版跟zxcv82大的狀況一樣不過目前沒看到檔案加密幸好5月初有跑安全性更好

作者: ez2dancer (有股濃濃的恨意………) 2017-05-13 19:02:00

推，想請問如果Win7已經安裝過微軟修補檔，還需要再防火牆關閉Port445嗎？那SMBv1服務呢？

作者: noitcidda (西打) 2017-05-13 19:04:00

1.05成功感謝大大

作者: ShiinaMayuri (嘟嘟嚕) 2017-05-13 19:05:00

http://i.imgur.com/NfqDBFc.jpg 這樣是safe?

作者: imasa (便當俠) 2017-05-13 19:06:00

暫時safe, 請盡快安裝更新

作者: qwertasdfgh (希萬法藏) 2017-05-13 19:08:00

http://imgur.com/a/2SRnf請問I大，看我的狀況應該是沒問題，可是怎麼還有安裝還有安裝MS17-010，請問這樣是安全的嗎?

作者: schiffer (Schiffer) 2017-05-13 19:10:00

推推！

作者: sx366 (è–„è·) 2017-05-13 19:16:00

感激不盡

作者: alyh (矮栗盒) 2017-05-13 19:19:00

@qwert 那是說你的電腦已經有把這個漏洞補起來了

作者: qwertasdfgh (希萬法藏) 2017-05-13 19:22:00

原來如此，謝謝A大說明

作者: rean5566 (路上突然好餓) 2017-05-13 19:22:00

http://imgur.com/a/Fe8uk 這樣應該就是好的吧0.0

作者: cy4750 (CY) 2017-05-13 19:24:00

http://i.imgur.com/D0tExJS.jpg 請問XP出現這個如何解決?

作者: zxcv820421 (常磐くるみ的老公) 2017-05-13 19:25:00

我是成功了可是電腦下載更新包說不適用更新...

作者: imasa (便當俠) 2017-05-13 19:26:00

@cy4750 打開命令列，開始->執行->輸入cmd然後輸入提示指令@qwertasdfgh 提示你已經有安裝了這是安全的

作者: cccmar (轟!!) 2017-05-13 19:28:00

推推，感謝大大協助!!! 希望大家電腦資料都安全~

作者: imasa (便當俠) 2017-05-13 19:28:00

@ez2dancer SMBv1已經過時可以不需要了現在都v2以上

作者: lovecoffee (力不從心) 2017-05-13 19:30:00

http://i.imgur.com/GBbjj0p.jpg出現這樣但是沒有顯示 has already installed ms17-010這樣也是ok的嗎？

作者: imasa (便當俠) 2017-05-13 19:34:00

@lovecoffee 少加個判斷而已我1.05已經加了

作者: cy4750 (CY) 2017-05-13 19:35:00

我輸入那串+ip之後顯示"不是內部或外部命令可執行的程式

作者: victoryss (☞ ☑中间选民 ☑爱歹玩) 2017-05-13 19:35:00

thanks 沒更新但是檢查安全呼呼我可愛ㄉA片

作者: lovecoffee (力不從心) 2017-05-13 19:35:00

OK 好的非常感謝您！！

作者: qwertasdfgh (希萬法藏) 2017-05-13 19:38:00

十分謝謝I大

作者: imasa (便當俠) 2017-05-13 19:42:00

@cy4750 你應該是執行錯指令了、上個圖看看你輸入什麼吧

作者: cy4750 (CY) 2017-05-13 19:44:00

detect_doublepulsar_smb.exe --IP 這樣??

作者: imasa (便當俠) 2017-05-13 19:45:00

你還要找出你的IP，可以輸入ipconfig去找

作者: lovecoffee (力不從心) 2017-05-13 19:46:00

這系列文很棒，有沒有版友做個總整理！？非常感謝i大及p大以及推文中熱心的版友:)

作者: cy4750 (CY) 2017-05-13 19:46:00

有我有找到IP了我輸入的就是這串後面是我查到的IP這樣

作者: imasa (便當俠) 2017-05-13 19:48:00

那你大概是目錄錯了...要到執行檔的目錄去執行喔

作者: hl571536xz (素晴らしい世界) 2017-05-13 19:48:00

http://i.imgur.com/xLjK9yr.png我已經裝了更新檔，但仍顯示未安裝，這樣會有問題嗎?

作者: imasa (便當俠) 2017-05-13 19:50:00

@hl571536xz有可能是安裝時寫key的路徑我沒掃描到如果可以的話輸入regedit->按F3->輸入KBID 看看他出現在哪

作者: min0502 (Rosalia) 2017-05-13 19:52:00

ＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＨＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪ　　　　

作者: cy4750 (CY) 2017-05-13 19:56:00

http://i.imgur.com/i9NCdcs.jpg 換路徑之後顯示這樣請問這樣代表???謝謝回應XP已經有裝那個更新檔了但是沒有關SMB 想先測看看請問裝完更新之後還要去關SMB嗎

作者: hl571536xz (素晴らしい世界) 2017-05-13 19:58:00

http://i.imgur.com/gtZPdXx.png 是像這樣嗎?

作者: looscfor (looscfor) 2017-05-13 19:59:00

請問顯示目前未被攻擊，但偵測程式說我未安裝更新，可是我看控制台更新記錄已經安裝完成了，這樣該怎麼處理呢？謝謝

作者: min0502 (Rosalia) 2017-05-13 20:01:00

i大不好意思剛剛確認電腦沒事後就開著電腦放著睡著了基於果

作者: cmid05 (酷拉皮卡) 2017-05-13 20:03:00

推

作者: imasa (便當俠) 2017-05-13 20:04:00

@hl571536xz 是的，能麻煩你把所有有關的路徑都找給我嗎?

作者: min0502 (Rosalia) 2017-05-13 20:06:00

小貓亂踩誤發推文真的很不好意思

作者: ShiinaMayuri (嘟嘟嚕) 2017-05-13 20:10:00

XD 貓圖ㄋ?

作者: hl571536xz (素晴らしい世界) 2017-05-13 20:16:00

有辦法將相關路徑一次匯出嗎?這路徑還挺多的XD

作者: imasa (便當俠) 2017-05-13 20:19:00

可能沒辦法你找HKLKM和CUEERNT_USER底下的路徑給我就好

作者: zero75559851 (赤劍零) 2017-05-13 20:21:00

推

作者: mkflyk23 (フライケー) 2017-05-13 20:26:00

XP可試試上面laechan大推文的方法：執行檔右鍵>建立捷徑捷徑右鍵>內容，目標>後面加上 --ip xxx.xxx.xxx.xhttp://i.imgur.com/KgMuHxw.jpg完成後確定，再去點該捷徑就可執行http://i.imgur.com/BJRakVY.jpg

作者: hl571536xz (素晴らしい世界) 2017-05-13 20:28:00

我弄成txt丟到google雲端了，看看是不是你需要的https://goo.gl/ijI4f1

作者: popeks1331 (真愛難覓吻仔魚) 2017-05-13 20:37:00

推XP使用方法!! 成功確認沒問題!感恩

作者: lolicone (∥○△○∥) 2017-05-13 20:38:00

謝謝執行中

作者: cy4750 (CY) 2017-05-13 20:39:00

mkflyk23: 他不讓我加那串http://i.imgur.com/qQncRYR.jpg

作者: semih (Sayginer) 2017-05-13 20:39:00

感謝但xp我用捷徑的方式會閃退只好打cmd手動輸入ip就ok了樓上 detect_doublepulsar_smb.exe --ip 很像空一格才行

作者: mkflyk23 (フライケー) 2017-05-13 20:47:00

--ip 前後都要空一格

作者: bill0205 (善良的小孩沒人愛) 2017-05-13 20:47:00

我顯示這樣..http://i.imgur.com/fLWMAbc.jpg第二行是?

作者: lovecoffee (力不從心) 2017-05-13 20:50:00

樓上這樣就是ok沒問題囉

作者: bill0205 (善良的小孩沒人愛) 2017-05-13 20:51:00

感謝

作者: akiraonlyone (ギンカ＊チームkazu) 2017-05-13 20:53:00

感謝i大，順利跑完程式確認沒問題了

作者: lovecoffee (力不從心) 2017-05-13 20:56:00

但都是暫時擋下這一波QQ 還是得乖乖更新系統

作者: arichage (台灣區南內推廣會長) 2017-05-13 20:58:00

有用有推！感謝提供！！

作者: fayered (yvonne) 2017-05-13 21:03:00

http://i.imgur.com/A7HtjZz.jpg請問如果我顯示這樣是安全的嗎

作者: lovecoffee (力不從心) 2017-05-13 21:05:00

大大你的跟bill大是一樣的

作者: saiulbb (Becky♪＃是我的拉!) 2017-05-13 21:07:00

謝謝分享上了一課

作者: salang (學習釋然) 2017-05-13 21:07:00

我是無法下載改寫後的版本他說ERRRO... 請問如何處理QQ我的是WIN7

作者: fayered (yvonne) 2017-05-13 21:08:00

可是我的沒顯示No presence of DOUBLEPULSAR SMBimplant超抖的

作者: lovecoffee (力不從心) 2017-05-13 21:16:00

因為你先關了smb才跑程式對嗎我關之前跑過一次，也是這樣結果哦

作者: CuteGG (GG) 2017-05-13 21:17:00

請問下載完，點程式兩下，等他跑訊息跑出No presence of DOUBLEPULSAR SMB implant

作者: PTTakatsuki (akatsuki) 2017-05-13 21:19:00

請問imasa大，系統win8測試之後是如下的畫面

作者: CuteGG (GG) 2017-05-13 21:19:00

訊息裡面有看到這段字就是目前安全嗎

作者: fayered (yvonne) 2017-05-13 21:22:00

所以我要打開再跑嗎

作者: chired (chired) 2017-05-13 21:24:00

想請問一下如果已經離線更新登錄檔SMB1(0)要刪掉嗎?

作者: PTTakatsuki (akatsuki) 2017-05-13 21:24:00

重新放圖，imasa大能幫忙刪除上一段imgur推文嗎？http://imgur.com/G4wh02S

作者: lovecoffee (力不從心) 2017-05-13 21:30:00

f大，應該不用已經顯示KB4012216 found 洞已經被堵住，請問imasa大，是這樣對嗎？

作者: ricky88052 (William) 2017-05-13 21:31:00

感謝大神

作者: kay00503 (微笑) 2017-05-13 21:31:00

請問也有人裝了KB4019264 但是偵測說沒裝的嗎

作者: lgng66133 (Mad Fer It！) 2017-05-13 21:35:00

no沒有顯示No presence of DOUBLEPULSAR SMBimplant的話是要再把smb開起來跑一次程式嗎

作者: hoij79627 (誠徵回收業者) 2017-05-13 21:43:00

感謝

作者: kay00503 (微笑) 2017-05-13 21:45:00

http://imgur.com/RzpkPaC

作者: snosaes5566 2017-05-13 21:46:00

搞定惹!感謝imasa大大

作者: juunuon (NANACON) 2017-05-13 21:52:00

win7 旗艦64用1.05閃退 http://ingur.com/aWRprAQ.png http://imgur.com/aWRprAQ.png

作者: PTTakatsuki (akatsuki) 2017-05-13 21:25:00

http://imgur.com/G4wh02S

作者: imasa (便當俠) 2017-05-13 22:21:00

KB4019264的安裝方式用的是CPS安裝這條路我沒有偵測到晚點補上

作者: LightEcho (光音) 2017-05-13 22:23:00

推謝謝這篇的幫助雖然我還是不敢連線來偵測潛伏病毒

作者: SnowTrance (若明) 2017-05-13 22:31:00

your system is already installed MS17-010 什麼意思

作者: CuteGG (GG) 2017-05-13 22:32:00

用那個檢查程式要連網路嗎？

作者: sl910654 2017-05-13 22:45:00

真的是一邊流淚一邊推太感謝

作者: LightEcho (光音) 2017-05-13 22:46:00

不是要先下載下來嗎？

作者: skts 2017-05-13 23:26:00

兩個檔案均被修改過，請作者重新確認，謝謝(File SHA1不符)

作者: koheik2 (ko) 2017-05-13 23:29:00

閃一秒就關了win7啥都沒顯示???

作者: werlight (Light) 2017-05-13 23:35:00

http://i.imgur.com/PBRKVY3.jpg有安裝更新但好像無法執行偵測

作者: zincs (白毫烏龍茶) 2017-05-13 23:36:00

感謝!!!

作者: kitoik5427 (kitoik5427) 2017-05-14 00:18:00

感謝!! 幸好自己還沒中標但一直沒辦法成功更新.....

作者: s60609s (豬豬羊) 2017-05-14 00:22:00

請問各位我從去年三月中後更新都失敗剛手動載了4019264也成功安裝了4019264 但前面更新還是失敗這樣安全嗎?

作者: lolicone (∥○△○∥) 2017-05-14 00:28:00

這樣有裝成功只要有其中一個就行了

作者: s60609s (豬豬羊) 2017-05-14 00:29:00

感謝

作者: heycircle (幾何男孩) 2017-05-14 00:39:00

必須推

作者: XDylan (初心者) 2017-05-14 00:44:00

感謝

作者: wayhowhown (Lycoptera) 2017-05-14 00:48:00

真心感謝大大

作者: kitoik5427 (kitoik5427) 2017-05-14 00:59:00

不好意思請教一下剛剛成功啟動後關閉想要放到其他資料夾裡卻跳出無法完成動作資料夾裡的檔案已在其他程式開啟 ???但我明明確認資料夾和執行檔都關閉了阿

作者: evanabc 2017-05-14 01:03:00

test

作者: kitoik5427 (kitoik5427) 2017-05-14 01:03:00

難道是程式只是畫面關閉其實還在執行嗎請問有什麼辦法可以檢查嗎

作者: hotisaac 2017-05-14 01:03:00

請問顯示這樣http://i.imgur.com/A7HtjZz.jpg是安全的?先謝謝，小弟是電腦白痴請有經驗的幫解答

作者: Ladizman (Ladizman) 2017-05-14 01:07:00

是的

作者: hotisaac 2017-05-14 01:27:00

謝謝樓上也謝謝原po

作者: LightEcho (光音) 2017-05-14 01:28:00

1.05版本也能一併檢查是否被病毒入侵潛伏嗎？先謝謝大大了

作者: azuresmile (有點) 2017-05-14 01:55:00

請問SHA1要從哪裡看呢?

作者: mjmj0316 (不說把我當神) 2017-05-14 01:59:00

我剛剛看了一下大小好像不太對?

作者: crazycy (LCY) 2017-05-14 02:01:00

不考慮開個源嗎XD 直接丟exe有些人會怕吧

作者: imasa (便當俠) 2017-05-14 02:05:00

大小請看實際大小不是磁碟大小喔

作者: stacy62123 (GAP) 2017-05-14 02:28:00

http://i.imgur.com/HusC6Ia.jpg 不好意思，win8出現這個後閃退，請問有什麼方法嗎QAQ?感恩原po

作者: mjmj0316 (不說把我當神) 2017-05-14 02:28:00

感謝大大回覆。已檢測完成真心感謝

作者: imasa (便當俠) 2017-05-14 03:04:00

1.06放上去了，執行上有問題的人可以下載看看問題解決了沒

作者: nanht (順其自然) 2017-05-14 03:05:00

謝謝i大的熱心，感激不盡!

作者: taihsin ( ) 2017-05-14 03:08:00

謝謝大大已關閉已檢測

作者: maxipin (maxipin) 2017-05-14 04:19:00

http://imgur.com/a/3KOCi V-1.06,為何有EXCEPTION啊? @@另外,英文內文只有說，我有阻擋了SMVB1也有更新了但是沒有說明最重要的DOUBLEPULSAR SMB implant啊? Orz

作者: yamasaki07 (YANASAKI) 2017-05-14 07:40:00

計算出來的SHA1跟文章裡的不一樣，是檔案被修改嗎

作者: as55721 (小朋友) 2017-05-14 08:14:00

http://i.imgur.com/QbFDJdR.jpg 請問我顯示的是這樣，我看不太懂，可以幫我解釋嗎？先謝謝幫忙解釋的那位

作者: ying8375 2017-05-14 08:59:00

求救...Win7開起來跑個2秒視窗就不見了什麼都沒看到

作者: imasa (便當俠) 2017-05-14 10:52:00

@maxipin 如果程式送的SMB requert被你的電腦擋下來就有可能不會秀出來那是正常的另外Exception是程式在搜尋registry時搜到他無法判讀的字元

作者: c93cj3 ( ) 2017-05-14 10:53:00

@as55721 它叫你去裝KB4019264這個更新你確認一下裝了沒

作者: imasa (便當俠) 2017-05-14 10:54:00

這部分跟我們尋找MS17-010 KB是無關的所以只先秀訊息出來

作者: c93cj3 ( ) 2017-05-14 10:54:00

@as55721 然後你掃描的結果當下是安全的

作者: imasa (便當俠) 2017-05-14 10:55:00

ying8375 你能用命令列執行看看嗎? 還有請確認是1.06版

作者: xliu (假蝦) 2017-05-14 11:19:00

如果偵測中了請問要怎麼處理？

作者: parkyu531 (鯨魚) 2017-05-14 11:30:00

win10強制更新才是先知

作者: wsx26997785 2017-05-14 11:30:00

http://0rz.tw/yWpvg 偵測了請問我有中標嗎?我沒看到 No presence of DOUBLEPULSAR SMB implant

作者: maynightdado (ã¦ã¸ãºã‚(ãƒ»Ï‰<)) 2017-05-14 11:35:00

關掉SMB1之後下去測顯示已經關閉那測的到關閉之前有沒有中嗎?還是已經中了也會顯示出來@@?

作者: lylia0338 (ppp) 2017-05-14 11:37:00

我的狀況跟樓上一樣也是沒看到No presence of DOUBLEPULSAR SMB implant

作者: yaowei2010 (yaowei) 2017-05-14 12:04:00

我跟wsx大一樣感覺是沒問題

作者: brain1472000 (Danny Wei) 2017-05-14 12:06:00

這個病毒跟WW3會有關係嗎？

作者: juchmm (我不知道) 2017-05-14 12:28:00

SHA1要怎麼看

作者: LightEcho (光音) 2017-05-14 12:55:00

有指定或建議的解壓縮方式嗎再次感謝大大

作者: dknas55 (Ans) 2017-05-14 13:09:00

http://imgur.com/a/ln3zB請問出現這種狀況,是哪個環節錯了呢?

作者: concertotc (v(￣︶￣)y花甜甜) 2017-05-14 14:06:00

同wsx26997785一樣是？

作者: winddriver (我要小蘿莉學妹！) 2017-05-14 15:27:00

我的狀況也和wsx26997785一樣已經關掉SMB也已經更新

作者: cockroach00 (蟑螂) 2017-05-14 15:30:00

謝謝大大

作者: drwolf (drwolf) 2017-05-14 15:50:00

我的電腦也跟wsx大一樣!! 這樣是沒問題巴?!

作者: kenji1111 (肯吉) 2017-05-14 15:54:00

狀況同wsx 這樣是安全的嗎?

作者: diabetes (若即若離) 2017-05-14 15:55:00

謝謝i大以及推文的各位，順利檢查更新了win7跟xp

作者: imasa (便當俠) 2017-05-14 15:56:00

和wsx26997785顯示一樣的人就是有安裝KB了這樣就沒問題了

作者: winddriver (我要小蘿莉學妹！) 2017-05-14 16:00:00

抱歉請問一下如果有裝好KB 是不是就代表病毒不會進來

作者: a5413eric (a5413eric) 2017-05-14 16:01:00

請問我顯示kb4019264找到卻沒顯示安裝MS17010是怎麼回

作者: winddriver (我要小蘿莉學妹！) 2017-05-14 16:01:00

那如果已經有病毒在電腦裡還是順利裝了KB 這種情況有可能發生嗎?

作者: rockho 2017-05-14 16:35:00

和wsx顯示一樣但我已安裝的list中卻找不到KB0419264...

作者: KKKBRENDA (BRENDA) 2017-05-14 17:29:00

感謝原po的提供和解答，也是出現跟wsx26997785的一樣終於更新好了

作者: WhiteMouse (白白白) 2017-05-14 18:54:00

想問一下關掉這服務會影響到什麼相關軟體的使用嗎？

作者: sa12e3 2017-05-14 19:47:00

https://www.youtube.com/watch?v=uVLDIynuaL4

作者: fkcsunshine (蘋草) 2017-05-14 20:01:00

我的顯示『your windows is 10 or 2016, don't needto check EtneralBlue 』請問這樣是正常的嗎? 偵測前已經關掉網路芳鄰了

作者: ica72 (隨遇~) 2017-05-14 20:22:00

下載解壓縮後 avast顯示有問題已封鎖+刪除請問我的avast太敏感嗎?

作者: kirax20a (キラ) 2017-05-14 20:55:00

請問這樣是有中還沒中？還是說要先把SMB 1打開再跑一次檢測程式？http://i.imgur.com/iKTPcYL.jpg

作者: winddriver (我要小蘿莉學妹！) 2017-05-14 21:07:00

抱歉問一下 win7如果已經關掉SMB 還要再關445port嗎如果要關445 port要怎麼關? 謝謝

作者: LIEBHERR (LIEBHERR) 2017-05-14 21:08:00

同ica大 avast不給開在更新完64包之後就不給試了

作者: kirax20a (キラ) 2017-05-14 21:10:00

我的AVAST也是會跳警告然後隔離但我還是把它拉出來設排除

作者: ica72 (隨遇~) 2017-05-14 21:11:00

是有看到前面有討論說 avast最近很擋.exe檔不曉得是不是這avast怪怪重新壓縮又沒事了變成我跟kirax大一樣

作者: light531 ((‧(工)‧)/ ) 2017-05-14 21:27:00

我也跟kr大的圖一樣耶這樣算OK嗎

作者: nicolas0608 (賈瑞) 2017-05-14 21:37:00

er:10057 不允許傳送或接收資料的要求因通訊端並未

作者: kirax20a (キラ) 2017-05-14 21:37:00

那圖顯示的也只是說你有把洞補起來然後就沒其他資訊了自己有另外用線上檢測的網站跑過結果是說OK 但因為我是吃手機網路的分享訊號也不知道那IP到底是手機的還是電腦的...

作者: nicolas0608 (賈瑞) 2017-05-14 21:39:00

連線而且在資料包通訊端使用sendto呼叫進行傳送時

作者: ica72 (隨遇~) 2017-05-14 21:40:00

我電腦是剛好w2重灌+更新檔也更新完

作者: nicolas0608 (賈瑞) 2017-05-14 21:40:00

並未提供地址 (kb4012598 found)

作者: ica72 (隨遇~) 2017-05-14 21:41:00

只有照指示把SMB關掉+445 TCP UDP關掉

作者: kirax20a (キラ) 2017-05-14 21:47:00

結果剛才仔細翻了推文 imasa大有說到我那狀況是確定OK的

作者: ica72 (隨遇~) 2017-05-14 22:05:00

感謝kirax大說明謝謝!!也感謝imasa大詳細的文章謝謝!!~

作者: kirax20a (キラ) 2017-05-14 22:39:00

別要謝就謝imasa大吧！我也只是個有求於各位大神的鄉民而已

作者: ying8375 2017-05-14 23:23:00

我用命令提示字元打開跑出http://imgur.com/h2H8fSa請問這是怎麼了?

作者: billy870302 (Aisaka_Taiga) 2017-05-15 01:19:00

這樣是有中?http://i.imgur.com/SOZYGaO.jpg

作者: fantasibear (布穀熊) 2017-05-15 01:35:00

我的畫面顯示跟樓上billy一樣...正想問主要是多了already installed MS17-010這句

繼續閱讀

Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統piligo Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統kisakisa Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統imasa [求救] Chrome自動跳視窗pomeloyou Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統st09094238 [合購] 卡巴斯基全方位五台兩年jessica805 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統abadjoke [問題] 更新後重開還有機會被勒索嗎x526542012 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統qxxrbull [請益] 大約2個月都沒有開機的win7 會不會中毒？x8031452