作者DrDisk (At room man)
看板AntiVirus
标题Re: [请益] 最近少去伊莉
时间Sat May 6 12:02:23 2017
*如果你的档案已经被加密打不开 不用往下看 这篇文章帮不了忙*
家人的电脑也因为浏览伊莉而中毒了,
是Win7 64位元,安全性更新只装到去年10月,
使用分享器给予的虚拟IP以Wifi的方式连线。
奇怪的是明明4/23晚上就装的「加料版」flash player伪更新,
到了5/6才处理,但电脑不知为何很幸运的完全没被加密档案,
但的确有powershell.exe在运作中。
後来参考此篇文章的第一个解决方式:
https://malwaretips.com/blogs/remove-fake-flash-player-update/
下载了Malwarebytes AdwCleaner(请到官方网站下载↓)
https://www.malwarebytes.com/adwcleaner/
并执行就扫出六个东西再以AdwCleaner删除,以下是AdwCleaner的清除纪录。
***** [ Folders ] *****
Folder Found: C:\ProgramData\apn
Folder Found: C:\ProgramData\Partner
Folder Found: C:\ProgramData\Application Data\apn
Folder Found: C:\ProgramData\Application Data\Partner
***** [ Files ] *****
File Found:
C:\Users\PeSh\AppData\Roaming\Mozilla\Firefox\Profiles\
k0zmojwt.default-1438095661788\invalidprefs.js
↑偷加到Firefox个人设定档的java script(应该吧)
***** [ Scheduled Tasks ] *****
Task Found:
00f978a0-541f-5941-3f488924daf0975f
↑这是加在「系统管理工具→工作排程器」里的鬼东西,
就是这行设定让你电脑每次重开机後,就会靠它执行powershell.exe。
目前Windows更新而重开机好几次後都没在工作管理员看到powershell.exe了,
也还没看到被加密的档案。提供给也有中毒的人清除的方式。
题外话:目前电脑装的是Microsoft Security Essential,软体更新到最新版也做了
病毒定义档更新,一样扫不到以上那六个东西…
我在发现这个问题时第一时间就先移掉Firefox的Flash Player。这可能没有必要只是
单纯不相信「加料版」的Flash Player所以宁愿重装一次。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 106.107.152.150
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494043373.A.77D.html
1F:推 ShaoYui: 感谢分享 我也有下载但那时安装时被MSE给挡下来删除了没 05/06 12:13
2F:→ ShaoYui: 安装成功 回家再检查看看有没有中毒 05/06 12:13
3F:推 SuperSg: powershell.exe是什麽档案? 我发现我有一个,但安装日期 05/06 12:42
4F:→ SuperSg: 是2009年了 05/06 12:42
5F:推 catzvicky21: 感谢分享 扫出66个档案 删除之後powershell.exe 就没 05/06 12:55
6F:→ catzvicky21: 出现了 继续观察 05/06 12:55
7F:→ hn9480412: powershell.exe是系统本来就有的壳层命令列程式 05/06 13:29
8F:→ hn9480412: 如果要类比的话就是OS X(Un*x)的终端机 05/06 13:30
9F:推 SuperSg: 所以说这个档案没错,是病毒借用这个档案搞事这样? 05/06 13:31
对。
10F:→ hn9480412: 而这个powershell跟普通的CMD(命令提示字元)概念类似 05/06 13:33
11F:→ hn9480412: 但是Powershell可以透过指令执行脚本 05/06 13:33
12F:→ hn9480412: 而Powershell也可以输入cmd後下cmd的指令 05/06 13:34
13F:→ hn9480412: 主要还是看那个powershell.exe位置在哪里 05/06 13:36
14F:→ hn9480412: 我是没有中过啦,但如果是这样的话可以推测是透过PS 05/06 13:36
15F:→ hn9480412: 来远端执行脚本指令 05/06 13:36
16F:→ gwofeng: 除了工作排程器那个编程,其他都是别的程式的东西 05/06 14:34
17F:→ gwofeng: 似乎也不只能靠工作排程器来启动而已 05/06 14:39
18F:→ gwofeng: AdwCleaner或其他防毒软体有时候也会扫不到 05/06 14:40
19F:推 SuperSg: 扫好了,扫出了2X个 05/06 15:00
20F:→ hn9480412: 你要注意的是PS正常只会在这个位置 05/07 02:51
没错,我在工作管理员看到它的↑「映像路径名称」是正常位置的,
并不是一个假的powershell.exe出现在不正常的地方在运作。
※ 编辑: DrDisk (106.107.152.150), 05/07/2017 07:45:42
22F:推 c0dedger9527: 扫到84个威胁,清除之後重新开机继续观察 05/07 21:28
23F:推 M499830236: 、ㄕㄕㄕㄝˉㄕㄝㄕ 05/10 07:55
24F:推 e1q3z9c7: 可以用noscript平常把js档封锁 05/14 12:37
25F:→ e1q3z9c7: norton noscript 05/14 12:38