Re: [請益] 最近少去伊莉

看板AntiVirus作者 (At room man)時間7年前 (2017/05/06 12:02), 7年前編輯推噓8(8017)
留言25則, 8人參與, 最新討論串2/5 (看更多)
*如果你的檔案已經被加密打不開 不用往下看 這篇文章幫不了忙* 家人的電腦也因為瀏覽伊莉而中毒了, 是Win7 64位元,安全性更新只裝到去年10月, 使用分享器給予的虛擬IP以Wifi的方式連線。 奇怪的是明明4/23晚上就裝的「加料版」flash player偽更新, 到了5/6才處理,但電腦不知為何很幸運的完全沒被加密檔案, 但的確有powershell.exe在運作中。 後來參考此篇文章的第一個解決方式: https://malwaretips.com/blogs/remove-fake-flash-player-update/ 下載了Malwarebytes AdwCleaner(請到官方網站下載↓) https://www.malwarebytes.com/adwcleaner/ 並執行就掃出六個東西再以AdwCleaner刪除,以下是AdwCleaner的清除紀錄。 ***** [ Folders ] ***** Folder Found: C:\ProgramData\apn Folder Found: C:\ProgramData\Partner Folder Found: C:\ProgramData\Application Data\apn Folder Found: C:\ProgramData\Application Data\Partner ***** [ Files ] ***** File Found: C:\Users\PeSh\AppData\Roaming\Mozilla\Firefox\Profiles\ k0zmojwt.default-1438095661788\invalidprefs.js ↑偷加到Firefox個人設定檔的java script(應該吧) ***** [ Scheduled Tasks ] ***** Task Found: 00f978a0-541f-5941-3f488924daf0975f ↑這是加在「系統管理工具→工作排程器」裡的鬼東西, 就是這行設定讓你電腦每次重開機後,就會靠它執行powershell.exe。 目前Windows更新而重開機好幾次後都沒在工作管理員看到powershell.exe了, 也還沒看到被加密的檔案。提供給也有中毒的人清除的方式。 題外話:目前電腦裝的是Microsoft Security Essential,軟體更新到最新版也做了 病毒定義檔更新,一樣掃不到以上那六個東西… 我在發現這個問題時第一時間就先移掉Firefox的Flash Player。這可能沒有必要只是 單純不相信「加料版」的Flash Player所以寧願重裝一次。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.107.152.150 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494043373.A.77D.html
05/06 12:13, , 1F
感謝分享 我也有下載但那時安裝時被MSE給擋下來刪除了沒
05/06 12:13, 1F
05/06 12:13, , 2F
安裝成功 回家再檢查看看有沒有中毒
05/06 12:13, 2F
05/06 12:42, , 3F
powershell.exe是什麼檔案? 我發現我有一個,但安裝日期
05/06 12:42, 3F
05/06 12:42, , 4F
是2009年了
05/06 12:42, 4F
05/06 12:55, , 5F
感謝分享 掃出66個檔案 刪除之後powershell.exe 就沒
05/06 12:55, 5F
05/06 12:55, , 6F
出現了 繼續觀察
05/06 12:55, 6F
05/06 13:29, , 7F
powershell.exe是系統本來就有的殼層命令列程式
05/06 13:29, 7F
05/06 13:30, , 8F
如果要類比的話就是OS X(Un*x)的終端機
05/06 13:30, 8F
05/06 13:31, , 9F
所以說這個檔案沒錯,是病毒借用這個檔案搞事這樣?
05/06 13:31, 9F
對。
05/06 13:33, , 10F
而這個powershell跟普通的CMD(命令提示字元)概念類似
05/06 13:33, 10F
05/06 13:33, , 11F
但是Powershell可以透過指令執行腳本
05/06 13:33, 11F
05/06 13:34, , 12F
而Powershell也可以輸入cmd後下cmd的指令
05/06 13:34, 12F
05/06 13:36, , 13F
主要還是看那個powershell.exe位置在哪裡
05/06 13:36, 13F
05/06 13:36, , 14F
我是沒有中過啦,但如果是這樣的話可以推測是透過PS
05/06 13:36, 14F
05/06 13:36, , 15F
來遠端執行腳本指令
05/06 13:36, 15F
05/06 14:34, , 16F
除了工作排程器那個編程,其他都是別的程式的東西
05/06 14:34, 16F
05/06 14:39, , 17F
似乎也不只能靠工作排程器來啟動而已
05/06 14:39, 17F
05/06 14:40, , 18F
AdwCleaner或其他防毒軟體有時候也會掃不到
05/06 14:40, 18F
05/06 15:00, , 19F
掃好了,掃出了2X個
05/06 15:00, 19F
05/07 02:51, , 20F
你要注意的是PS正常只會在這個位置
05/07 02:51, 20F
05/07 02:51, , 21F
05/07 02:51, 21F
沒錯,我在工作管理員看到它的↑「映像路徑名稱」是正常位置的, 並不是一個假的powershell.exe出現在不正常的地方在運作。 ※ 編輯: DrDisk (106.107.152.150), 05/07/2017 07:45:42
05/07 21:28, , 22F
掃到84個威脅,清除之後重新開機繼續觀察
05/07 21:28, 22F
05/10 07:55, , 23F
、ㄕㄕㄕㄝˉㄕㄝㄕ
05/10 07:55, 23F
05/14 12:37, , 24F
可以用noscript平常把js檔封鎖
05/14 12:37, 24F
05/14 12:38, , 25F
norton noscript
05/14 12:38, 25F
更多 DrDisk 的文章
文章代碼(AID): #1P3KhjTz (AntiVirus)
更多 DrDisk 的文章
文章代碼(AID): #1P3KhjTz (AntiVirus)