[問題] 關於最近的勒索病毒 沒有跳出贖金視窗
這兩天發現電腦桌面上的.doc .ppt .pdf .jepg等檔案打不開
爬了文才發現是eyny的問題
前幾天有手殘去下載,但因為覺得有疑惑
(有去確認自己chrome的flash版本)
所以也有去adobe flash的官網下載
不太確定是安裝了那一個安裝檔
總之目前只有桌面上的檔案會再重開機後變成無法開啟
但是直到今天都沒有跳出勒索贖金的那個視窗
目前電腦是在安全模式做備份照片中
但是待會要回家過母親節,週末沒辦法用電腦(照片還沒備份完)
所以想請問我可以掛著安全模式讓電腦繼續備份
或是關機等回來後再重新以安全模式繼續備份
(因為不確定病毒會不會繼續擴散)
第一次用手機發文,排版請見諒
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.158.104.218
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1493967395.A.38D.html
※ 編輯: c0dedger9527 (49.158.104.218), 05/05/2017 14:57:44
推
05/05 15:38, , 1F
05/05 15:38, 1F
我也不知道我現在是中毒還是被勒索啊
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 15:43:05
推
05/05 16:50, , 2F
05/05 16:50, 2F
啟動程式沒有看,工作管理員有看到powershell.exe出現
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:05
然後這幾天一開機就直接手動停止它
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:50
推
05/05 17:14, , 3F
05/05 17:14, 3F
→
05/05 17:15, , 4F
05/05 17:15, 4F
→
05/05 17:16, , 5F
05/05 17:16, 5F
不知道啊,我也是第一次碰到這種情況,至少還有足夠的時間讓我備份資料
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:31:26
→
05/05 18:00, , 6F
05/05 18:00, 6F
可以組成受害者自救會之類的團體了嗎(?
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:17:16
推
05/05 18:25, , 7F
05/05 18:25, 7F
是從那天開始算的?
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:40:26
推
05/06 00:38, , 8F
05/06 00:38, 8F
→
05/06 01:52, , 9F
05/06 01:52, 9F
推
05/06 02:05, , 10F
05/06 02:05, 10F
→
05/06 02:07, , 11F
05/06 02:07, 11F
→
05/06 02:07, , 12F
05/06 02:07, 12F
→
05/06 02:12, , 13F
05/06 02:12, 13F
→
05/06 02:12, , 14F
05/06 02:12, 14F
→
05/06 02:17, , 15F
05/06 02:17, 15F
→
05/06 02:18, , 16F
05/06 02:18, 16F
→
05/06 02:24, , 17F
05/06 02:24, 17F
→
05/06 02:26, , 18F
05/06 02:26, 18F
→
05/06 02:27, , 19F
05/06 02:27, 19F
→
05/06 02:27, , 20F
05/06 02:27, 20F
感謝ofy大這麼詳細的解說,我的電腦的情況是從發現有異狀後(桌面檔案無法開啟,禮拜
三),一直到禮拜四晚上才爬文發現到中毒,但這其間的檔案都是以被損毀無法開啟的情
況,而且僅限於桌面(每次開機後都會到工作管理員手動刪除powershell.exe)
※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:03:18
我有一個習慣是把一個隨身碟當作下載位置,而裡面的檔案都是正常可以開啟的,所以才
覺得疑問為什麼有異狀後這幾天都只有桌面的檔案中獎(包含把設定捷徑在桌面的資料夾
也會中)。
BTW貌似日文資料夾跟日文檔名不會出問題(因為一些漫畫跟日文歌都沒事)
※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:12:59
推
05/06 09:48, , 21F
05/06 09:48, 21F
→
05/06 09:48, , 22F
05/06 09:48, 22F
→
05/06 09:48, , 23F
05/06 09:48, 23F
→
05/06 09:49, , 24F
05/06 09:49, 24F
終於回到電腦前,自從禮拜五電腦以安全模式斷網沒關機的狀態下,依然沒有跳出勒索視
窗,也沒有其他的檔案遭到加密,所以待會把剩下的檔案備份完後會採用#1P3KhjTz (Ant
iVirus)這篇的作法處理看看
在用AdwCleaner掃描之後,發現了84項威脅,其中服務有(QMUdisk ,TSSKX64 ,softall ,
tsnethlpx64 ,tsskx64 ,qmudisk)6項,排程工作(c8cfdb58-8b28-5569-ebdcf666f52f1ae
2),目前清除完後重開機中
※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:37:06
重開機後powershell.exe沒有在工作管理員出現,而且也沒有檔案再被加密毀損,繼續觀
察幾天看看。
※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:46:23
推
05/08 00:05, , 25F
05/08 00:05, 25F
要看損害情形吧,如果系統已經被攻爛了那也就只有重灌了。因為我是只有桌面檔案被加
密而已所以就先試試AdwCleaner
※ 編輯: c0dedger9527 (49.158.104.218), 05/08/2017 01:32:14
→
05/14 19:40, , 26F
05/14 19:40, 26F
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 1 之 2 篇):