不好意思爬文沒看到精確的描述
(因為都是說有沒有開始中毒被改檔名了
我不確定我這樣算不算已經中了)
想請問一下小紅傘一直出現擋住mssecsvc
電腦檔案似乎沒異狀
(不過剛剛要開魔獸世界開不了 然後就出現小紅傘)
這樣算是沒中毒嗎?
是不是關閉SMB1 然後更新完就沒問題了呢?
還有甚麼檔案要刪除的嗎?

拔掉網路，如果小紅傘沒出現就表示都擋下來。如果有出現就表示已經在電腦裡了。先把重要檔案搬離開吧。不過要更安全還是重灌在更新到最新妥當。

先關機，再拔網路線。從其他安全的電腦去下載更新檔，然後傳到隨身碟，再以手動更新。

根據#1P5hh4QR 現在應該是第一步驟mssecsvc.exe會想丟tasksche.exe 但是被小紅傘擋下來所以加密應該還沒開始 看能不能讓紅傘自力清除保險一點的作法 就是先把東西備份後整個重灌

小紅傘沒防火牆，所以才會出現mssecsvc有防火牆的直接拒絕連線，不會出現mssecsvc

結果檔案還是被改了一部分C. EF全毀. D槽還沒 只能把D槽還沒備份的照片備份了

時間差還是怪怪的，你檢查時候還沒有，應該就拔網路線了主程式被小紅傘吃了，還能感染三槽。有其他機制嗎？底下也是說插上隨身硬碟被感染，怎和目前看到的資訊有落差。

剛剛在安全模式下備份到外接硬碟 這樣不會把毒帶過去吧orz ?重新開機後還是一直跳警告但是不是那個執行檔 而是TR/FileCoder.724645然後對象是我已經被改的E槽資料夾

TR/FileCoder.724645 就是Wanncry病毒 這是雨傘的編號mssecsvc.exe難道還有丟出什麼東西程式跑加密程序？好奇原PO在雨傘報毒之後有沒有把馬上網路中斷

沒有 ！

嗯...沒有...那就有幾種可能讓mssecsvc.exe找到漏洞接著把tasksche.exe引進來 就看透過什麼方式不然就是tasksche.exe早就開始作用了這隻病毒應該還有些行為沒有被分析出來

因為沒有斷網，所以mssecsvc一直進來，可能在某次不小心被啟動成功了，說不定tasksche沒被擋下，就慢慢改掉了。而備份時候也可能沒注意到，不小心連病毒都備份過去了(?)

樓上說的應該是可能性最高的狀況 漏掉某次就GG了我剛剛查了雨傘的VDF資料庫 WanaCry特徵是在5/12 23:57隨著7.14.6.158 VDF一起被推送更新 還不到24小時所以前面有裝雨傘卻沒攔到可以說得通 可能剛好在空檔總結就是 如果防毒叫了 第一時間就是斷網殺毒接著離線更新填漏洞 關閉SMB 443 PORT鎖起來如果這樣還是救不到 那就要懷疑是變種或未知行為了更正 443 PORT

是445 port。反正現在用來控制感染的網址失效了，只要不

嗯嗯 畢竟我電腦已經被家人開了一個晚上

是已經存在的病毒檔，應該不會再發生類似感染。但port還是先鎖起來好。能更新就更新。檔案放半年看看，文字好像

看看檔案也沒動靜 所以就先沒理他 先來作功課

有說半年後說不定有機會(?)，不過真沒必要還是全砍了，免的還有什麼不可預期的情況。

我怎麼更正還是錯XD 445對啦XD

照片檔會有夾帶病毒的可能性嗎 ？

我覺得如果加密確實是RSA2048 除非美國拿出秘密武器不然要救回來真的難上加難...什麼檔案都有夾帶病毒的可能性 尤其是加密過的檔案誰知道還包進去了什麼鬼東西 放著別動他最好

請問我用AVAST昨晚擋住一次後立馬斷線，然後今早檢查C槽未發現taskche等等檔案，也沒聽到AVAST持續警告，請問是否表示攔截成功可以進行備份工作了嗎？怕連外接硬碟一起死...

建議樓上先做一次全機掃描 因為可能不只C而已總而言之網路絕對不要先連回去這樣雖然我的個性還會先去抓Avast的病毒碼來做離線更新但這個步驟非必要就是 畢竟沒另一台電腦也不方便這樣做全機掃描結束沒問題之後 進安全模式再外接硬碟備份基本上這樣已經算是很謹慎了如果這樣還是GG 那就代表目前對Wanncry的研究不夠透徹回原PO 如果已經複製就複製了吧到時候電腦重灌或者找另一台電腦之後 再去掃外接硬碟如果防毒軟體沒報毒就可以比較安心

已經全機掃描過了，中間還有偷偷連上網路幾分鐘更新病毒碼，後再掃描重開都未發現@@目前看看CDE槽，檔案都還正常無異狀這樣

那我覺得應該是沒問題 SMB Windows TCP那些趕緊處置應該就算是從鬼門關前救了回來 感恩AVAST吧XD

阿彌陀佛.....QQ