作者imasa (便当侠)
看板AntiVirus
标题Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统
时间Sat May 13 07:58:41 2017
※ 引述《imasa (便当侠)》之铭言:
: 有兴趣的人可以看看
:
: http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
:
: 在此就先不浪费篇幅在这post了
:
: 推 bignose0623: 想请问如何知道电脑有无中奖?在档案尚未察觉被加密 05/13 05:28
: → bignose0623: 前,感谢 05/13 05:28
这里有侦测的script下载
https://github.com/countercept/doublepulsar-detection-script
或者你也可以下载我改写後打包起来的程式来侦测:
v1.07
https://mega.nz/#!7Upx3ZaS!vUxKXP9I5uYETZp2HoswrS61RRH7sw3saPiFnGord-k
备用载点:
https://www.mediafire.com/?za4wl8cbqaoyy3l
执行前请确认档案有无被偷改过
v1.07 File Info
Executable File SHA1: 6ADAABF9B3CBA780B90CAE3AEE411F27EB0E22A4
Executable File Size: 9,248,982 Bytes
检查自己机器时,左键点两下程式就可以了 (XP除外)
下面是程式执行後的侦测结果
现在会直接扫描电脑是否有安装相关的的 MS17-010 KB
KB号码参考同讨论串其他网友分享的ID
尚未被攻击:
显示 No presence of DOUBLEPULSAR SMB implant
http://imgur.com/bhha3st
被攻击成功:(WanaCrypt0r可能已进行加密中或潜伏期)
http://imgur.com/BXFTu8G
按照我前文的内容把SMBv1协定关闭时
显示 This machine has already closed SMBv1 protocol
这是我自己加的、原本的script没有这段,会跳exception
这是win7的范例图
http://imgur.com/vxjHIth
winXP的范例图
http://imgur.com/wCqEQzJ
侦测程式的其他用法请参考原始script的说明
--
贫血软派罗杰君
http://roger6.blogspot.tw
热血系列粉丝团
http://www.facebook.com/KunioGame
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.42.160.182
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494633528.A.DFC.html
1F:推 akay08: 推推 05/13 08:15
2F:推 coolcliff01: 补充一下 Win10 开这会被挡 要选择仍要执行才会动 05/13 08:18
3F:推 rbdgemzo: 感谢你 05/13 08:20
4F:推 abram: 昨天这麽热闹 我却因为林奕含案沮丧到关机逃过一劫 冥冥之 05/13 08:20
5F:→ abram: 中也许是林女在保佑我的电脑 谢谢啦 05/13 08:20
6F:推 luminous214: 请问vista有得补漏洞吗QQ?我的最後卡在去年的更新但 05/13 08:22
7F:→ luminous214: 也是一直无法下载 ,是因为不支援了所以档案整个没得 05/13 08:22
8F:→ luminous214: 载了吗?谢谢 05/13 08:22
9F:推 noddle: 推 05/13 08:30
10F:推 proletariat: 在热门板排名快冲到前10了@@ 05/13 08:39
11F:→ proletariat: 哇呜 已经进前10了 05/13 08:40
12F:推 xjp004123: win10用了直接跑一下马上不见,跨某 05/13 08:53
13F:→ imasa: win10不需要用这个 本身就没漏洞了... 05/13 08:55
14F:推 xjp004123: 好的,谢谢 05/13 08:56
15F:→ alkahest: 感谢! 05/13 09:00
16F:推 e446582284: 目前没中,但本身是盗版win7,更新5月的会蓝屏…… 05/13 09:01
17F:→ e446582284: 现在不知道要不要换win10… 05/13 09:01
18F:推 germun: win10不是没漏洞, 是正常情况下已经强制帮你更新了... 05/13 09:05
19F:→ germun: 问题是在有没有更新, 不在win10还win7... 05/13 09:05
20F:→ HELLDIVER: 喔喔喔 人数持续攀升中 05/13 09:09
21F:推 kohinata: 大半原因是新闻在抱了 05/13 09:10
22F:推 chachabetter: 当初刚装WIN10觉得强制自动更新很靠盃,现在觉得关 05/13 09:17
23F:→ chachabetter: 掉才是不知死活QQ 05/13 09:17
24F:推 bee13014125: win7 sp1,档案直接放在C: 显示已经停止运作 05/13 09:19
25F:→ bee13014125: 不知道跟使用者名称是中文有没有关系? 05/13 09:19
26F:推 ciaerin: 昨晚电脑怪怪的,要怎麽知道自己有没有中啊 05/13 09:25
27F:→ imasa: 路径请不要有中文 05/13 09:25
28F:推 ciaerin: 我的意思是...我不敢再练网了,没练网的情况下可以知道 05/13 09:27
29F:→ ciaerin: 吗 05/13 09:27
30F:推 bee13014125: 我直接放在C:\底下耶 完全没中文 05/13 09:29
31F:推 paul40807: 推这篇 05/13 09:33
32F:推 andylee84126: 我打开来以後显示点任意键继续但 点下去後就跳出了 05/13 09:37
33F:推 b24333666: 推 05/13 09:38
34F:推 okitasoshi: 这一定要推 05/13 09:38
35F:推 geesupreme: 推! 05/13 09:40
36F:推 mrporing: 昨天没开机,早上起来看到就想拔储存槽,只留系统槽更新 05/13 09:46
37F:→ HELLDIVER: 我的习惯是用外接盒 但系统碟里的档案就没办法了 05/13 09:48
38F:推 b24333666: W10开起会闪跳 05/13 09:48
39F:推 F16V: 请教目前有win8的灾情吗 05/13 09:50
40F:→ F16V: 还是都8.1? 05/13 09:50
41F:→ HELLDIVER: win8都在中枪名单中 05/13 09:50
42F:→ F16V: gg QQ 05/13 09:51
43F:→ carlyu: 请问出现closed是否也代表没有被implant? 05/13 09:53
44F:→ carlyu: 谢谢 05/13 09:53
45F:推 tzback: 我Win10也是闪一下就关了 什麽都没看到 05/13 09:55
46F:推 bignose0623: 感谢 05/13 09:58
47F:推 alex90236: 帮推 感谢强者帮忙整理 05/13 09:58
48F:推 tonyxfg: 请问我点了後,出现无法连线,因为目标电脑拒绝连线,这 05/13 10:04
49F:→ tonyxfg: 是代表什麽情况? 05/13 10:04
50F:→ HELLDIVER: 就关起来了这样 05/13 10:06
51F:推 tonyxfg: 喔喔,所以这代表我的电脑已经堵上这个洞了吗?非常感谢 05/13 10:08
52F:推 daidairu: 我想请问一下这支程式 假如我已经中毒了 但後来关掉SMB 05/13 10:11
53F:→ daidairu: 那显示结果会是 你被攻击了 还是 你关SMB 所以安全了? 05/13 10:11
55F:推 Seattle995: win10 会怕!所以早上就1607更新成1703了 @@ 05/13 10:17
56F:推 r1426000000: 那要怎麽样关闭SMBv1呢? 05/13 10:20
57F:→ hn9480412: Vista可以补到4月份以前的漏洞 05/13 10:20
58F:推 andrewyllee: 我电脑没那个协定耶 W7 05/13 10:21
※ 编辑: imasa (114.42.160.182), 05/13/2017 10:31:59
59F:推 hsr7016: 为啥我路径也没中文还是依开启就当掉? 05/13 10:31
60F:推 hjhj002244: 请问中毒的话NAS也会被感染吗 05/13 10:32
61F:→ imasa: 我更新了侦测程式,请重新下载 05/13 10:32
62F:→ imasa: 会根据不同windows而有不同的行为,请参考更新後的内文 05/13 10:33
63F:→ imasa: 主要更新内容是win10会跳过、xp需要手动输入IP 05/13 10:33
64F:→ imasa: vista需要在别台电脑测试 05/13 10:33
65F:推 kreuzritter: 请问昨天Avast拦截到一次mssecsvc.exe,刚刚搜寻电 05/13 10:34
66F:→ kreuzritter: 脑,未发现有相关的档案 05/13 10:34
67F:→ kreuzritter: 这样算拦截成功可放心,还是已经中标等哪天自己引爆 05/13 10:35
68F:→ kreuzritter: 了?(win7) 05/13 10:35
69F:→ playerkilled: 感谢I大的文章 05/13 10:38
70F:推 matsuri: 请问,我是照前文关掉SMB1以後才跑侦测软体, 05/13 10:39
71F:推 MakiseKurisu: 所以要再重新下载一次吗~? 05/13 10:39
72F:→ MakiseKurisu: mega中的那个档案 05/13 10:39
73F:推 squrar: 再下一次吧 I大有修正了 05/13 10:40
74F:→ matsuri: 虽然侦测软体显示已经关掉,会不会还是有发作的风险? 05/13 10:41
75F:推 MakiseKurisu: 好的 感谢~ 也有在更新档案中看到新的txt档 05/13 10:42
76F:→ imasa: 如果别的病毒偷开或是手残把SMBv1又打开 就会有风险 05/13 10:43
77F:推 Rock0930: 感谢大大无私分享 05/13 10:43
78F:推 matsuri: 笔电重灌回到WIN8後就没法上8.1,现在挫咧等XD 05/13 10:44
79F:推 gemini2010: 问题是我现在不敢连网RRRRRR 05/13 10:51
80F:推 Ejaculation: 为啥 我也是一打开就停止运作 感恩大大教我 05/13 10:52
81F:→ kondoyu: 有中毒是用拨接还是用分享器上网的 05/13 10:55
82F:→ imasa: Ejaculation能传张图给我看看吗? 停止运作的图 05/13 10:55
83F:→ HELLDIVER: 不晓得 不过我用分享器上网没中枪 当然 现在已经更新了 05/13 10:56
84F:→ qama: 请问如果事先用内建的BitLocker把硬碟锁住有用吗?@@ 谢谢 05/13 10:57
85F:推 LightEcho: 所以先把SMB关掉再下载侦测软体吗? 05/13 11:01
86F:推 johnsky75: 感谢!!!! 05/13 11:05
87F:推 XAIOQ: 想借问一下 如果笔电是双系统 这样是不要切到windows那边就 05/13 11:06
88F:→ XAIOQ: 可以吗 还是也要更新 05/13 11:06
89F:推 newage5566: 开启程式都错误..路径都英文了啊 05/13 11:07
90F:推 cospergod: 感谢您的热心 05/13 11:10
92F:推 slfantasy: 请问WIN10看更新纪录是要更新哪个才算安全~ 05/13 11:13
93F:推 kaine130243: 小弟的windows服务中。没看到smb欸。这是代表? 05/13 11:14
94F:推 kevin135k: 感谢 先处理起来避免万一 05/13 11:16
95F:推 Blueelephant: 请问W7 4月底有更新 这样还需要更新吗? 05/13 11:19
96F:推 levihanji: 好奇问一下 这病毒会影响家中wifi吗 05/13 11:20
98F:→ tzback: #1P5UOwpc 7/8.1看更新代码有没有更新到 05/13 11:22
99F:→ imasa: ariawind请问你的作业系统版本是? 05/13 11:24
101F:→ ariawind: 回imasa win7 我刚刚有把smb1设成数值0 05/13 11:25
102F:推 Autumn06513: 跟楼上一样WIN7但执行档案会出现停止运作QQ 05/13 11:30
103F:推 megxz: 这样是有关掉吗? 05/13 11:32
105F:→ gemini2010: 服且有关掉SMBv1吗? 还是只代表有关掉SMBv1? 05/13 11:32
107F:→ Adven: @gemini2010,有readme.txt可以看喔 05/13 11:34
108F:推 lovejamwu: 我是win7完了我都没在更新.... 05/13 11:37
109F:推 MiharuHubby: 我也是开启错误,路径都英文 05/13 11:37
110F:推 eyeonme: 自己回自己 以解决 我原本的使用者名称是中文 後来新增一 05/13 11:38
111F:推 Shichimiya: 我也开启错误 路径都英文 05/13 11:38
112F:→ eyeonme: 个英文的使用者後 登入就可以成功检测 05/13 11:38
113F:推 ToujouAya: 有没有人愿意教第一个连结下载後怎麽使用QQ 05/13 11:41
114F:→ Shichimiya: 喔喔 用楼楼上的方法成功了 感谢 05/13 11:42
115F:→ imasa: 原来是中文使用者,感谢补充 05/13 11:43
116F:推 ariawind: imasa 我使用者帐户改成英文也不能耶,要重开? 05/13 11:43
117F:推 Shadow5566: 请问一下,如果win7有更新 ,而且用i大的程式包扫过也 05/13 11:43
118F:→ laechan: 我xp,第二个连结下载後解压缩,资料夹名我直接改123,放到 05/13 11:43
119F:→ Shadow5566: 显示(尚未被攻击或已装kb)这图的内容,那还需要去关 05/13 11:43
120F:→ Shadow5566: 闭SMBv1这服务吗? 05/13 11:43
121F:→ laechan: C:\底下,再对执行档按右键选新增捷径,然後改捷径执行为 05/13 11:44
122F:→ laechan: C:\123\detect_doublepulsar_smb.exe --ip xxx.xxx.xxx.x 05/13 11:44
123F:→ laechan: 这样直接点捷径就会执行了,刚扫描完 safe, 感谢原po 05/13 11:44
124F:→ laechan: XP使用者可以开防火墙,到[例外]那边,把vnc,远端相关的取 05/13 11:45
125F:→ laechan: 消打勾,我的电脑按右键选内容,点[远端],那边也取消打勾 05/13 11:46
126F:推 zaq1qwer: 请问 我已经中招了 我进入安全模式 把有wana的档案都删 05/13 11:49
127F:→ zaq1qwer: 之後还是可以继续用这颗硬碟吗? (非系统碟) 谢谢回答~ 05/13 11:50
128F:推 eelse: 感谢,测试完毕正常 05/13 11:51
129F:推 r1426000000: 想请教大家,我已经新增了,但检测程式跑完没有出现 05/13 11:53
130F:→ r1426000000: 关闭的字样 05/13 11:53
131F:推 geken: 感谢 05/13 11:54
132F:→ r1426000000: 我的路径也都是英文,到底是哪个环节出了问题呢 05/13 11:54
133F:→ laechan: 你系统是什麽? 05/13 11:56
134F:推 r1426000000: Win7! 05/13 11:56
137F:→ laechan: 你这样就是扫完了吧,第二张图 05/13 11:58
138F:→ imasa: 名字错了,是SMB1 05/13 11:58
140F:→ r1426000000: 已更正,重开机试试看 05/13 12:00
141F:推 minihyde: 在LanmanServer中的Parameters新增DWORD才能关闭 05/13 12:00
142F:→ r1426000000: 好!!我终於找到问题了...谢谢各位 05/13 12:01
143F:→ r1426000000: 感激不尽... 05/13 12:02
144F:推 UppityuniQue: 我是Win7,按任意键继续後视窗就关掉了,请问是什麽 05/13 12:02
145F:→ UppityuniQue: 原因呢? 05/13 12:03
146F:推 r1426000000: 谢谢大家,成功关掉了 05/13 12:05
147F:推 Leaves1014: SMB1 已设定 但是用 netstat 依旧是 listening 05/13 12:12
148F:推 Leaves1014: 只要用程式扫 ok 就没关系吗? 05/13 12:13
149F:推 skvis: 按任意键本来就会关掉 你要看上面那排英文写什麽 05/13 12:18
150F:推 a47135: 请问讯息是No presence of DOUBLEPULSAR SMB implant代表 05/13 12:19
151F:→ a47135: 就不会中这个勒索病毒了吗? 05/13 12:19
152F:推 skvis: 是显示尚未被攻击 05/13 12:21
153F:推 a47135: 因为本篇是说尚未被攻击或是已安装更新,好像没办法分出来 05/13 12:22
154F:→ a47135: 到底是已经安装更新不怕惹还是还没被攻击 05/13 12:22
156F:推 bks9587: 请问我可以开启但按了任意键继续後就直接消失是什麽问题? 05/13 12:24
157F:推 Leaves1014: 表示程式已跑完 要看「任意键继续」上一行英文内容 05/13 12:25
158F:推 a47135: 任意键继续就是表示跑完了阿....任意键按下去自然会关闭 05/13 12:26
※ 编辑: imasa (114.42.160.182), 05/13/2017 12:28:18
159F:→ imasa: 修正中文路径问题,应该可以用中文了,中文使用者再确认 05/13 12:29
161F:推 dd614: win8跑一下就跳到掉正常吗? 05/13 12:29
163F:→ hsr7016: 一开启就当掉了 05/13 12:30
164F:→ imasa: 楼上请下载新版本试试 05/13 12:31
165F:→ UppityuniQue: 感谢a大回我,原来是我自己耍笨了... 05/13 12:34
166F:推 tab222777: 所以XP显示refused SMBv1是代表还没被攻击和潜伏吗? 05/13 12:35
167F:推 hsr7016: 可以执行了 但跳出closed SWBv1的提示的话要再重开在测? 05/13 12:36
168F:推 ggoutoutder: 问一下 我没办法更新怎麽办 他一直在检查更新 05/13 12:40
169F:推 yizhe: 没有"尚未被攻击或已装KB"提示,只有"SMB关闭"提示就好吗? 05/13 12:40
170F:推 cbstgb: 感谢版大跟推文大大教学 终於成功了 05/13 12:43
171F:推 log65320: 推 05/13 12:44
172F:推 ericthree: 推推 05/13 12:49
173F:推 thbw666: 感谢原po 05/13 12:50
174F:推 a410046: 太感谢了 05/13 12:52
175F:推 lovecoffee: 我是win8.1 也是一开马上跳掉 我刚刚12点47分下载 05/13 12:58
176F:→ lovecoffee: 的QQ 路径全英文 05/13 12:58
177F:→ imasa: 楼上你这个是其他问题 我正在想办法解决 05/13 12:59
178F:推 argoth: SHA1是不是有变动过了? 05/13 13:01
179F:推 a47135: 想请问一下原PO,尚未被攻击和已安装KB更新都是同样讯息 05/13 13:01
180F:→ a47135: 还是说如果没装KB(漏洞还是存在)但是尚未被攻击的情况下 05/13 13:02
181F:→ a47135: 会有其他讯息提示? 05/13 13:02
182F:推 ss910126: 请问,我只有显示NO PRESENCE那行并没有显示已经关闭 05/13 13:03
183F:→ ss910126: SMBV1 我已经照原PO上一篇的方式操作过了 05/13 13:03
184F:推 Hajimi: 感谢大神,推推! 05/13 13:04
186F:→ lovecoffee: 我趁他消失前截图下来 05/13 13:05
187F:→ lovecoffee: 请问这是哪边错误呢 感谢 05/13 13:05
188F:→ lovecoffee: 我才看到原po回覆,谢谢您,再麻烦了 QQ 05/13 13:06
190F:→ LT26i: 感恩!!! 05/13 13:06
191F:→ ss910126: 我已经解决了,再次感谢原PO 05/13 13:07
192F:→ ss910126: 各位要注意把机码名称 SMB1 05/13 13:08
194F:→ ss910126: 注意机码名称改成SMB1 05/13 13:08
195F:推 moneypack3: 解压缩档案大小不符耶,是我下载错了吗 05/13 13:08
196F:→ milddawn: SHA1 改成这个了? 05/13 13:08
197F:推 OOQ: 检测完成 感谢 05/13 13:11
198F:推 zelkova: 请问安装windows更新之後还需要装这个吗? 05/13 13:12
199F:→ imasa: @milddawn 改了,请对照readme文件内的SHA1 05/13 13:13
200F:推 HowardxApple: 泪推 你专业 05/13 13:14
201F:推 n12052233g: win8.1一开就自动关掉视窗 怎麽办呢 05/13 13:23
202F:推 milddawn: 谢! 05/13 13:31
203F:推 LightEcho: 不好意思请问一下 这样SMB有关掉了吗?(win7) 05/13 13:31
205F:推 luminous214: 可是我的vista一直无法更新 ,都停在0不会动 …只能 05/13 13:35
206F:→ luminous214: 这几天先别开机orz 05/13 13:35
207F:→ imasa: @LightEcho 对、改好记得重开机 05/13 13:36
208F:推 revolute: 推热血 05/13 13:44
209F:推 LightEcho: 那有不用连网就能检查电脑是否有病毒的办法吗? 05/13 13:48
210F:→ LightEcho: 很害怕一连网就中标(已经更新到五月版本 5/12更新) 05/13 13:48
211F:→ LightEcho: 不好意思麻烦您了 05/13 13:48
212F:推 newage5566: 中文名称版本可执行,检查已关闭SMB1,谢谢原PO 05/13 13:50
213F:推 chi12345678: 已改QQ感谢 05/13 13:57
214F:推 GhriS: 记得win10也有这漏洞 但好像没更新也不会中? 05/13 13:59
215F:推 ashkaze: 请问我是先手动关闭SMB再下载侦测程式检查,如果也是出现 05/13 13:59
216F:→ ashkaze: 已关闭讯息代表目前机器无漏洞是不是? 05/13 13:59
217F:推 Yakiko: 感谢 扫完显示已关闭SMBv1 05/13 14:09
218F:推 abram: 感谢 把路由器445 port关闭 确实就显示已经关闭SMB了 05/13 14:21
219F:推 lynked: mega下载来的档案SH1跟原po提供的不符耶?? 05/13 14:30
220F:推 Dkky: File SHA1: 7D4F81F475A96BD28403F6F2E76C054DA62A1C3E 05/13 14:32
※ 编辑: imasa (114.42.160.182), 05/13/2017 14:33:46
221F:→ imasa: 抱歉是我文章没更新到 你贴的这SHA1是正确的 05/13 14:34
222F:→ Dkky: readme档案里面写的 05/13 14:35
223F:推 powerg5: 我从MEGA下载的档案其SHA1和dkky提供的不同 05/13 14:36
225F:→ powerg5: 压缩档的内容难道有再改动过吗? 05/13 14:37
226F:推 Dkky: 解压缩後的exe档 SHA才是我贴的那一串 05/13 14:40
227F:→ imasa: @powerg5 你这是压缩档的SHA1,我写的是里面执行档的 05/13 14:42
228F:推 wsx26997785: 如果显示潜伏期 该怎麽解决? 05/13 14:42
229F:推 yao7174: win8.1 下载显示11点半左右更新的还是会直接跳掉耶 05/13 14:46
230F:推 wade520: 关掉SMB还需要更新吗?? 05/13 14:47
231F:推 beckyH: 请问是先关掉SMB1然後下载侦测之後再更新吗?445port也要 05/13 14:56
232F:推 ariawind: 感谢imasa大,新版已可以使用 已关闭 SMBv1协定 05/13 14:56
233F:→ ariawind: 想问一下之後还需要打开他吗? 05/13 14:56
234F:→ beckyH: 关吗?~~ 05/13 14:56
235F:→ imasa: @wade520 关掉SMBv1只是救急,还是请尽快更新 05/13 15:02
236F:→ imasa: @ariawind 不用开了 那是老旧的东西 05/13 15:02
237F:推 aaa89025: 问一下蠢问题,关闭SMB後中华电信的小乌龟wifi会受到影 05/13 15:05
238F:→ aaa89025: 响吗.谢谢 05/13 15:05
239F:推 andy0526: 显示 No presence of DOUBLEPULSAR SMB implant就OK了? 05/13 15:07
240F:→ andy0526: 不懂SMBv1协定? 05/13 15:07
241F:推 Phaeton: 谢谢imasa,但是想请问现在win7 执行是关掉SMBv1而已,这 05/13 15:14
242F:→ Phaeton: 样就可以? win10的两台电脑 是都正常更新 就说不用检查 05/13 15:14
243F:→ Phaeton: 非常谢谢原po教学 05/13 15:15
244F:推 wade520: 感谢imasa解答 05/13 15:17
245F:推 rininan: 很久没用电脑了躲过一劫,感谢原po教学 05/13 15:18
246F:推 Duncan0722: 不好意思想请问一下楼主,如果我中毒前有将部分档案 05/13 15:23
247F:→ Duncan0722: 放入手机里面,之後我电脑重灌win10,手机再插入电脑 05/13 15:23
248F:→ Duncan0722: 後,电脑还有可能因为手机里面以前的档案而再次中毒 05/13 15:23
249F:→ Duncan0722: 吗,手机里面的档案也会被影响到吗,谢谢您 05/13 15:23
250F:推 miaomiao35: 感谢大神相助 大神一生平安! 05/13 15:28
251F:推 confri427: 照原PO的方法关SMB 但是侦测程式还是跳尚未被攻击那行? 05/13 15:30
252F:→ semih: 请问xp已关掉SMBv1和已下载更新KB4012598 侦测出来只显示关 05/13 15:32
253F:→ semih: SMBv1 但没显示No presence of DOUBLEPULSAR SMB implant 05/13 15:33
254F:→ semih: 请问这是哪边没注意到 ? 05/13 15:33
255F:推 miaomiao35: 显示关掉SMB1就是安全了吧? 05/13 15:35
256F:推 horseorange: 推 05/13 15:40
257F:推 icemc: semih 我跟你一样没显示那行 不过上网站测已经安全了 05/13 15:50
258F:推 Usecase: 请问如果是windows server 2012 r2,有办法执行这支检测 05/13 15:56
259F:→ Usecase: 程式吗?谢谢 05/13 15:57
260F:推 willix83: 载点挂了!? 05/13 15:58
261F:推 link5566: 载点挂了 有人能补吗? 05/13 16:01
262F:推 Wall62: icemc大请问你是上什麽网站测的 05/13 16:01
263F:→ imasa: 我刚才在更新程式,不好意思 马上补载点 05/13 16:14
※ 编辑: imasa (114.42.160.182), 05/13/2017 16:15:28
264F:推 idfpigeon: 他跑完会自己关掉欸 还来不及看到讯息QQ 05/13 16:18
265F:→ imasa: 请问楼上的windows版本是? 05/13 16:20
267F:推 hornybaron: 推一个 正在做预防工作 非常谢谢你分享的内容 05/13 16:21
268F:推 ABC0000: 我的win7 跑完也会直接关掉 05/13 16:22
270F:推 n12052233g: I大 我的也会 我开起来後视窗自动关掉 我是win8.1 05/13 16:23
271F:推 Sallina: 我的win7跑完也是很快关掉 05/13 16:23
272F:推 infi23: 我也被关掉了QQ 05/13 16:24
273F:推 gary78123: Win7跑完会自己关掉 05/13 16:25
274F:推 hornybaron: 刚刚抓完 Win7 跟楼上一样跑完直接关掉来不及看QQ 05/13 16:26
275F:推 jedisteven: 我的win7跑完也是很快关掉 看不到讯息QQ 05/13 16:27
277F:→ JieshinRS: 这样是什麽意思QAQ 05/13 16:27
278F:推 Livia222: 也是来不及看到讯息,就自动关闭了。 05/13 16:28
279F:推 warrigal: 推热心的高手 请问假如後来才把smb关掉 可是之前就中毒 05/13 16:28
280F:→ warrigal: 会显示什麽呢 05/13 16:28
281F:推 idfpigeon: 我的是win 7 旗舰山寨板 05/13 16:30
282F:推 roveralex: 感谢分享 05/13 16:30
283F:→ imasa: @JieshinRS 那是debug用的讯息 可以不管他 05/13 16:31
284F:推 Wall62: iceme大感谢 05/13 16:31
285F:推 JieshinRS: 所以这样是有关掉ok的吗 还是有中毒……不好意思我是电 05/13 16:32
286F:→ JieshinRS: 脑白痴QAQ 05/13 16:32
287F:推 lkj12tw: win7跑完自己关掉+1 05/13 16:32
288F:推 noise5566: 感谢你 05/13 16:33
289F:推 sid19881025: 感谢大大..真的感谢大大 05/13 16:34
291F:推 ESC5566: 有用有推!! 05/13 16:42
292F:推 iamdavidga: 先手动关了再来跑 都直接跳掉 好不容易有截图到 05/13 16:42
293F:推 Sallina: 请问能放回前面那一版的测试程式吗?这一版的跑完会跳掉 05/13 16:44
294F:推 catchco: win7 跳掉+1 05/13 16:45
295F:推 peter840606: 请问跳出This machine has already close SMBv1.... 05/13 16:48
296F:→ peter840606: 是只代表关闭了协议 还是同时代表关闭协议和没中毒 05/13 16:49
298F:→ Backmann: TypeError是指><? 05/13 16:50
299F:推 vester: 一直更新失败,何解? 05/13 16:53
300F:推 alyh: 有做更新 跑程式有显示找到最新的KB更新 但跟上面一些板友 05/13 16:54
※ 编辑: imasa (114.42.160.182), 05/13/2017 16:56:24
301F:→ alyh: 贴的图一样 下面显示TypeError 然後跑完秒关 >"< 05/13 16:54
302F:→ imasa: TypeError应该已经修复了,请重新下载新版 05/13 16:57
303F:推 c309023: 谢谢大大,可以安心了 05/13 16:57
304F:推 olelehas: 谢谢原PO,辛苦了 05/13 16:58
305F:推 peter840606: @imasa 那请问跳出已经关闭协议也同时代表没中毒吗? 05/13 16:58
306F:推 alyh: 谢谢原PO 辛苦你了 检查完毕没有问题~ 05/13 17:02
307F:推 mapledog: 感谢I大 新版成功跑完未检测出 真的辛苦你了!! 05/13 17:04
308F:推 Backmann: 感谢i大!新版显示SMB1已关闭!太开心了! 05/13 17:08
309F:推 iamdavidga: 感谢I大 真心感谢您 QQ 05/13 17:10
310F:推 maydayue: 谢谢i大,不过我跑出来只显示SMBv1已关和找到KB4019264 05/13 17:16
311F:→ maydayue: 没有显示有没有被攻击 05/13 17:17
312F:推 omanorboyo: win7点完就跳掉怎办? 05/13 17:18
313F:推 alyh: 楼上是载到旧版吗? 刚刚更新过的版本应该不会跳掉了 @@ 05/13 17:19
314F:推 pths313: 用了104版还是会跳掉呢 05/13 17:20
315F:推 happysunny: 请问关闭这个会影响到什麽功能呢? 想知道自己平常会 05/13 17:23
316F:→ happysunny: 不会用到 05/13 17:23
317F:推 omanorboyo: 有了104版本可行 感谢大大 05/13 17:29
319F:推 tsaumond: 请问一下有显示KB4xxxxxx found是否就是代表漏洞已补好? 05/13 17:31
320F:→ ERQQ: win7跳掉 +1 05/13 17:31
321F:→ imasa: 你们请先下载新版试试看,看影片你像是用旧版本的 05/13 17:35
322F:→ imasa: @happysunny 关闭SMBv1 windows应该会去用SMBv2 05/13 17:37
323F:推 Adven: 感谢更新版本 05/13 17:37
324F:推 catchco: 请问跑完是显示already"refused" SMBv1...是一样的意思吗 05/13 17:39
325F:→ SeTeVen: 请问win8怎麽办QQ 05/13 17:40
326F:推 higuma47: 请问win7执行後跳出UnicodeEncodeError怎麽办QQ,有确定 05/13 17:44
327F:→ higuma47: 是用104版本,档案路径也确定只有英文… 05/13 17:44
329F:推 lovecoffee: 请问更新版本是? 我今天12点47分下载的 一样是开 05/13 17:46
330F:→ lovecoffee: 了马上跳掉@@ 05/13 17:46
331F:推 SpaghettI101: 请问一下win7用104版一样闪退,附上闪退瞬间截图: 05/13 17:48
333F:推 alyh: @love 刚刚下午16:56有最新版本更新喔 重载看看吧 05/13 17:49
334F:推 lovecoffee: 好的 感谢您 05/13 17:51
335F:推 pths313: 跟SpaghettI101很类似的情况闪退~win7是32位元的 05/13 17:56
336F:→ pths313: 阿~跟higuma47的相同才是~完全一样的内容 05/13 17:57
338F:→ iSad56: 再拜托大大 05/13 17:59
339F:→ alyh: 楼上你的影片就不能放个安全点的地方 像是YOUTUBE吗? =_= 05/13 18:04
340F:推 OSAME: I大 新版1.04反而XP 32位元会错误 原本1.01正常 05/13 18:04
341F:推 jerrywalker: 请问更新完还要打开SMBv1吗? 已确定关掉和安装更新了 05/13 18:09
344F:→ iSad56: (104版任意键後跳出)[WIN7] (youtube重传) 05/13 18:14
345F:推 OSAME: XP我用101版没问题 我刚刚刻意试两个版本 05/13 18:15
346F:→ imasa: @iSad56 这样的运作方式是正常的 我没看到什麽错误? 05/13 18:18
347F:→ imasa: @OSAME 因为101还不会扫描XP的KB 05/13 18:18
※ 编辑: imasa (114.42.160.182), 05/13/2017 18:23:04
348F:推 lovecoffee: 有成功了 再下载一次就可以了!感谢 05/13 18:23
349F:→ imasa: 已更新1.05连结、发生问题的人请下载新版试试看 05/13 18:23
350F:→ lovecoffee: 以前我也是都不安装更新的,最近两年买新电脑才开始 05/13 18:24
351F:→ lovecoffee: 让它更新,只要是重要更新,更下去就是了QQ 05/13 18:24
352F:推 iSad56: 但是我没有看到No presence of DOUBLEPULSAR SMB implant 05/13 18:26
353F:推 zxcv820421: 问一下 点大大提供的打包程式 直接是显示说 05/13 18:26
354F:→ zxcv820421: This machine has already closed SMBv1 protocol 05/13 18:26
355F:→ zxcv820421: 这样是成功了吗? 05/13 18:26
356F:推 jpfly: 请问1.05版是否可以增加mega以外的载点?>人< 05/13 18:26
357F:→ iSad56: 或是任何其他的结果 它就直接关掉了呢@@ 是正常的吗 05/13 18:26
358F:→ zxcv820421: 没有跑出No presence of DOUBLEPULSAR SMB implant 05/13 18:26
360F:→ flywan: 这样是ok吗? 05/13 18:30
361F:推 wunno: 请问若侦测被攻击成功 但似乎还没有档案被加密(?) 那这时 05/13 18:30
362F:推 lovecoffee: 我成功的是104版本 05/13 18:30
363F:→ wunno: 才开始关SMB1 安装更新档来的及吗? 或是直接重灌了? 谢谢 05/13 18:31
364F:推 duringtime: 1.05 XP检测成功....1.04 扫KB会闪退 05/13 18:34
365F:→ imasa: @flywan 有1.05了喔,请改用1.05试试看 05/13 18:38
※ 编辑: imasa (114.42.160.182), 05/13/2017 18:39:07
367F:推 DaringDo: XP要怎麽执行?@@ 05/13 18:40
368F:嘘 ShiinaMayuri: 请问 先关SMBv1 再做侦测 这顺序对吗??? 05/13 18:41
369F:→ imasa: 可以 05/13 18:43
370F:→ imasa: @DaringDo 要打开命令列,开始->执行->输入cmd 05/13 18:44
371F:推 acro72: 感谢~新版的在xp可以正常检测了~ 05/13 18:44
372F:推 kaorucyc: 1.05执行成功 05/13 18:45
373F:推 DaringDo: 喔喔 我抓的是1.04 05/13 18:46
374F:→ aa82732664: 如果用大大的程式没被攻击会显示什麽出来呢 05/13 18:46
375F:推 iSad56: 105版跟104版状况一样 任意键後跳出 没看到结果 [win7] 05/13 18:47
376F:→ iSad56: 再麻烦大大帮忙 05/13 18:47
377F:推 DaringDo: 喔 我会了.. 感谢回答@@ 05/13 18:52
378F:推 qwertasdfgh: 执行前请确认档案有无被偷改过,请问要怎麽确认呀? 05/13 18:52
379F:→ imasa: @iSad56 从你的影片来看 你的SMBv1已经关掉了 05/13 18:52
380F:推 flywan: 1.05版跟zxcv82大的状况一样 不过目前没看到档案加密 05/13 18:53
381F:→ flywan: 幸好5月初有跑安全性更好 05/13 18:53
382F:推 ez2dancer: 推,想请问如果Win7已经安装过微软修补档,还需要再 05/13 19:02
383F:推 ez2dancer: 防火墙关闭Port445吗?那SMBv1服务呢? 05/13 19:04
384F:推 noitcidda: 1.05成功 感谢大大 05/13 19:04
386F:→ imasa: 暂时safe, 请尽快安装更新 05/13 19:06
388F:→ qwertasdfgh: 请问I大,看我的状况应该是没问题,可是怎麽还有安装 05/13 19:08
389F:→ qwertasdfgh: 还有安装MS17-010,请问这样是安全的吗? 05/13 19:09
390F:推 schiffer: 推推! 05/13 19:10
391F:推 sx366: 感激不尽 05/13 19:16
392F:推 alyh: @qwert 那是说你的电脑已经有把这个漏洞补起来了 05/13 19:19
393F:推 qwertasdfgh: 原来如此,谢谢A大说明 05/13 19:22
396F:推 zxcv820421: 我是成功了 可是电脑下载更新包说不适用更新... 05/13 19:25
397F:→ imasa: @cy4750 打开命令列,开始->执行->输入cmd然後输入提示指令 05/13 19:26
398F:→ imasa: @qwertasdfgh 提示你已经有安装了 这是安全的 05/13 19:27
399F:推 cccmar: 推推,感谢大大协助!!! 希望大家电脑资料都安全~ 05/13 19:28
400F:→ imasa: @ez2dancer SMBv1已经过时 可以不需要了 现在都v2以上 05/13 19:28
402F:→ lovecoffee: 出现这样 但是没有显示 has already installed ms17- 05/13 19:30
403F:→ lovecoffee: 010 05/13 19:30
404F:→ lovecoffee: 这样也是ok的吗? 05/13 19:30
405F:→ imasa: @lovecoffee 少加个判断而已 我1.05已经加了 05/13 19:34
406F:推 cy4750: 我输入那串+ip之後 显示"不是内部或外部命令 可执行的程式 05/13 19:35
407F:推 victoryss: thanks 没更新 但是检查安全 呼呼 我可爱ㄉA片 05/13 19:35
408F:推 lovecoffee: OK 好的 非常感谢您 !! 05/13 19:35
409F:→ cy4750: 或批次档" 这样代表我少打了什麽吗?? 05/13 19:35
410F:推 qwertasdfgh: 十分谢谢I大 05/13 19:38
411F:→ imasa: @cy4750 你应该是执行错指令了、上个图看看你输入什麽吧 05/13 19:42
412F:推 cy4750: detect_doublepulsar_smb.exe --IP 这样?? 05/13 19:44
413F:→ imasa: 你还要找出你的IP,可以输入ipconfig去找 05/13 19:45
414F:推 lovecoffee: 这系列文很棒,有没有版友做个总整理!? 非常感谢i 05/13 19:46
415F:→ lovecoffee: 大及p大 以及推文中热心的版友:) 05/13 19:46
416F:推 cy4750: 有 我有找到IP了 我输入的就是这串 後面是我查到的IP这样 05/13 19:46
417F:→ imasa: 那你大概是目录错了...要到执行档的目录去执行喔 05/13 19:48
419F:→ hl571536xz: 我已经装了更新档,但仍显示未安装,这样会有问题吗? 05/13 19:48
420F:→ imasa: @hl571536xz有可能是安装时写key的路径我没扫描到 05/13 19:50
421F:→ imasa: 如果可以的话 输入regedit->按F3->输入KBID 看看他出现在哪 05/13 19:50
422F:推 min0502: AAAAAAAAAAAAAAAAAAAAAAAAAA 05/13 19:52
424F:→ cy4750: 请问这样代表???谢谢回应 05/13 19:56
425F:→ cy4750: XP已经有装那个更新档了 但是没有关SMB 想先测看看 05/13 19:57
426F:→ cy4750: 请问装完更新之後还要去关SMB吗 05/13 19:57
428F:推 looscfor: 请问显示目前未被攻击,但侦测程式说我未安装更新,可是 05/13 19:59
429F:→ looscfor: 我看控制台更新记录已经安装完成了,这样该怎麽处理呢? 05/13 19:59
430F:→ looscfor: 谢谢 05/13 19:59
431F:推 min0502: i大 不好意思 刚刚确认电脑没事後就开着电脑放着睡着了 05/13 20:01
432F:→ min0502: 基於果 05/13 20:01
433F:推 cmid05: 推 05/13 20:03
434F:→ imasa: @hl571536xz 是的,能麻烦你把所有有关的路径都找给我吗? 05/13 20:04
435F:推 min0502: 小猫乱踩误发推文 真的很不好意思 05/13 20:06
436F:推 ShiinaMayuri: XD 猫图ㄋ? 05/13 20:10
※ 编辑: imasa (114.42.160.182), 05/13/2017 20:14:22
437F:推 hl571536xz: 有办法将相关路径一次汇出吗?这路径还挺多的XD 05/13 20:16
438F:→ imasa: 可能没办法 你找HKLKM和CUEERNT_USER底下的路径给我就好 05/13 20:19
439F:推 zero75559851: 推 05/13 20:21
440F:推 mkflyk23: XP可试试上面laechan大推文的方法:执行档右键>建立捷径 05/13 20:26
441F:→ mkflyk23: 捷径右键>内容,目标>後面加上 --ip xxx.xxx.xxx.x 05/13 20:26
443F:→ mkflyk23: 完成後确定,再去点该捷径就可执行 05/13 20:26
445F:推 hl571536xz: 我弄成txt丢到google云端了,看看是不是你需要的 05/13 20:28
447F:推 popeks1331: 推XP使用方法!! 成功确认没问题!感恩 05/13 20:37
448F:推 lolicone: 谢谢 执行中 05/13 20:38
450F:→ semih: 感谢 但xp我用捷径的方式会闪退 只好打cmd手动输入ip就ok了 05/13 20:39
451F:→ semih: 楼上 detect_doublepulsar_smb.exe --ip 很像空一格才行 05/13 20:41
452F:推 mkflyk23: --ip 前後都要空一格 05/13 20:47
454F:→ bill0205: 第二行是? 05/13 20:48
455F:推 lovecoffee: 楼上这样就是ok没问题罗 05/13 20:50
456F:推 bill0205: 感谢 05/13 20:51
457F:推 akiraonlyone: 感谢i大,顺利跑完程式确认没问题了 05/13 20:53
458F:推 lovecoffee: 但都是暂时挡下这一波QQ 还是得乖乖更新系统 05/13 20:56
459F:推 arichage: 有用有推!感谢提供!! 05/13 20:58
461F:→ fayered: 请问如果我显示这样是安全的吗 05/13 21:03
462F:推 lovecoffee: 大大你的跟bill大是一样的 05/13 21:05
463F:推 saiulbb: 谢谢分享 上了一课 05/13 21:07
464F:推 salang: 我是无法下载改写後的版本 他说ERRRO... 请问如何处理QQ 05/13 21:07
465F:→ salang: 我的是WIN7 05/13 21:07
466F:推 fayered: 可是我的没显示No presence of DOUBLEPULSAR SMBimplant 05/13 21:08
467F:→ fayered: 超抖的 05/13 21:10
468F:推 lovecoffee: 因为你先关了smb才跑程式对吗 05/13 21:16
469F:→ lovecoffee: 我关之前跑过一次,也是这样结果哦 05/13 21:17
470F:推 CuteGG: 请问下载完,点程式两下,等他跑讯息跑出 05/13 21:17
471F:→ CuteGG: No presence of DOUBLEPULSAR SMB implant 05/13 21:18
472F:推 PTTakatsuki: 请问imasa大,系统win8测试之後是如下的画面 05/13 21:19
473F:→ CuteGG: 讯息里面有看到这段字就是目前安全吗 05/13 21:19
474F:推 fayered: 所以我要打开再跑吗 05/13 21:22
475F:推 chired: 想请问一下 如果已经离线更新 登录档SMB1(0)要删掉吗? 05/13 21:24
477F:推 lovecoffee: f大,应该不用 已经显示KB4012216 found 洞已经被堵 05/13 21:30
478F:→ lovecoffee: 住,请问imasa大,是这样对吗? 05/13 21:30
479F:推 ricky88052: 感谢大神 05/13 21:31
480F:推 kay00503: 请问也有人装了KB4019264 但是侦测说没装的吗 05/13 21:31
481F:推 lgng66133: no 05/13 21:35
482F:推 lgng66133: 没有显示No presence of DOUBLEPULSAR SMBimplant的话 05/13 21:39
483F:→ lgng66133: 是要再把smb开起来跑一次程式吗 05/13 21:39
484F:推 hoij79627: 感谢 05/13 21:43
486F:推 snosaes5566: 搞定惹!感谢imasa大大 05/13 21:46
489F:→ imasa: KB4019264的安装方式用的是CPS安装 这条路我没有侦测到 05/13 22:21
490F:→ imasa: 晚点补上 05/13 22:21
491F:推 LightEcho: 推 谢谢这篇的帮助 虽然我还是不敢连线来侦测潜伏病毒 05/13 22:23
492F:推 SnowTrance: your system is already installed MS17-010 什麽意思 05/13 22:31
493F:→ CuteGG: 用那个检查程式要连网路吗? 05/13 22:32
494F:推 sl910654: 真的是一边流泪一边推 太感谢 05/13 22:45
495F:推 LightEcho: 不是要先下载下来吗? 05/13 22:46
496F:→ skts: 两个档案均被修改过,请作者重新确认,谢谢(File SHA1不符) 05/13 23:26
497F:推 koheik2: 闪一秒就关了win7啥都没显示??? 05/13 23:29
499F:→ werlight: 有安装更新但好像无法执行侦测 05/13 23:36
500F:推 zincs: 感谢!!! 05/13 23:36
501F:推 kitoik5427: 感谢!! 幸好自己还没中标 但一直没办法成功更新..... 05/14 00:18
502F:推 s60609s: 请问各位 我从去年三月中後更新都失败 刚手动载了4019264 05/14 00:22
503F:→ s60609s: 也成功安装了4019264 但前面更新还是失败 这样安全吗? 05/14 00:23
504F:→ lolicone: 这样有装成功 只要有其中一个就行了 05/14 00:28
505F:推 s60609s: 感谢 05/14 00:29
506F:推 heycircle: 必须推 05/14 00:39
507F:推 XDylan: 感谢 05/14 00:44
508F:推 wayhowhown: 真心感谢大大 05/14 00:48
509F:推 kitoik5427: 不好意思 请教一下 刚刚成功启动後关闭 05/14 00:59
510F:→ kitoik5427: 想要放到其他资料夹里 却跳出无法完成动作 05/14 01:01
511F:→ kitoik5427: 资料夹里的档案已在其他程式开启 ??? 05/14 01:01
512F:→ kitoik5427: 但我明明确认资料夹和执行档都关闭了阿 05/14 01:02
513F:→ evanabc: test 05/14 01:03
514F:→ kitoik5427: 难道是程式只是画面关闭 其实还在执行吗 05/14 01:03
515F:→ kitoik5427: 请问有什麽办法可以检查吗 05/14 01:03
517F:→ hotisaac: 先谢谢,小弟是电脑白痴 请有经验的帮解答 05/14 01:04
518F:→ Ladizman: 是的 05/14 01:07
519F:推 hotisaac: 谢谢楼上 也谢谢原po 05/14 01:27
520F:推 LightEcho: 1.05版本也能一并检查是否被病毒入侵潜伏吗? 05/14 01:28
521F:→ LightEcho: 先谢谢大大了 05/14 01:28
522F:推 azuresmile: 请问SHA1要从哪里看呢? 05/14 01:55
523F:推 mjmj0316: 我刚刚看了一下大小好像不太对? 05/14 01:59
524F:推 crazycy: 不考虑开个源吗XD 直接丢exe有些人会怕吧 05/14 02:01
525F:→ imasa: 大小请看实际大小不是磁碟大小喔 05/14 02:05
526F:→ imasa: SHA1看的是里面执行档 不是压缩档本身喔 05/14 02:06
527F:→ imasa: 谢谢、有考虑要开源、但目前会先等code稳定下来再考虑这事 05/14 02:07
529F:→ stacy62123: 这个後闪退,请问有什麽方法吗QAQ?感恩原po 05/14 02:28
530F:推 mjmj0316: 感谢大大回覆。已检测完成 真心感谢 05/14 02:28
※ 编辑: imasa (114.42.160.182), 05/14/2017 03:03:16
531F:→ imasa: 1.06放上去了,执行上有问题的人可以下载看看问题解决了没 05/14 03:04
532F:推 nanht: 谢谢i大的热心,感激不尽! 05/14 03:05
533F:推 taihsin: 谢谢大大 已关闭 已检测 05/14 03:08
535F:推 maxipin: 另外,英文内文只有说,我有阻挡了SMVB1也有更新了 05/14 04:23
536F:→ maxipin: 但是没有说明最重要的DOUBLEPULSAR SMB implant啊? Orz 05/14 04:24
537F:推 yamasaki07: 计算出来的SHA1跟文章里的不一样,是档案被修改吗 05/14 07:40
539F:→ as55721: 我看不太懂 ,可以帮我解释吗 ?先谢谢帮忙解释的那位 05/14 08:14
540F:推 ying8375: 求救...Win7开起来 跑个2秒 视窗就不见了 什麽都没看到 05/14 08:59
541F:→ imasa: @maxipin 如果程式送的SMB requert被你的电脑挡下来 05/14 10:52
542F:→ imasa: 就有可能不会秀出来 那是正常的 05/14 10:53
543F:→ imasa: 另外Exception是程式在搜寻registry时搜到他无法判读的字元 05/14 10:53
544F:推 c93cj3: @as55721 它叫你去装KB4019264这个更新 你确认一下装了没 05/14 10:53
545F:→ imasa: 这部分跟我们寻找MS17-010 KB是无关的 所以只先秀讯息出来 05/14 10:54
546F:→ c93cj3: @as55721 然後你扫描的结果当下是安全的 05/14 10:54
547F:→ imasa: ying8375 你能用命令列执行看看吗? 还有请确认是1.06版 05/14 10:55
548F:推 xliu: 如果侦测中了请问要怎麽处理? 05/14 11:19
549F:推 parkyu531: win10强制更新才是先知 05/14 11:30
551F:→ wsx26997785: 我没看到 No presence of DOUBLEPULSAR SMB implant 05/14 11:31
552F:推 maynightdado: 关掉SMB1之後下去测 显示已经关闭 那测的到关闭之 05/14 11:35
553F:→ maynightdado: 前有没有中吗?还是已经中了也会显示出来@@? 05/14 11:35
554F:推 lylia0338: 我的状况跟楼上一样 05/14 11:37
555F:→ lylia0338: 也是没看到No presence of DOUBLEPULSAR SMB implant 05/14 11:38
556F:推 yaowei2010: 我跟wsx大一样 感觉是没问题 05/14 12:04
557F:→ brain1472000: 这个病毒跟WW3会有关系吗? 05/14 12:06
558F:推 juchmm: SHA1要怎麽看 05/14 12:28
559F:推 LightEcho: 有指定或建议的解压缩方式吗 再次感谢大大 05/14 12:55
561F:→ dknas55: 请问出现这种状况,是哪个环节错了呢? 05/14 13:09
562F:推 concertotc: 同wsx26997785一样是? 05/14 14:06
563F:推 winddriver: 我的状况也和wsx26997785一样 已经关掉SMB也已经更新 05/14 15:27
564F:推 cockroach00: 谢谢大大 05/14 15:30
565F:推 drwolf: 我的电脑也跟wsx大一样!! 这样是没问题巴?! 05/14 15:50
566F:推 kenji1111: 状况同wsx 这样是安全的吗? 05/14 15:54
567F:推 diabetes: 谢谢i大以及推文的各位,顺利检查更新了win7跟xp 05/14 15:55
568F:→ imasa: 和wsx26997785显示一样的人就是有安装KB了 这样就没问题了 05/14 15:56
569F:推 winddriver: 抱歉请问一下 如果有装好KB 是不是就代表病毒不会进来 05/14 16:00
570F:推 a5413eric: 请问我显示kb4019264找到 却没显示安装MS17010是怎麽回 05/14 16:01
571F:→ winddriver: 那如果已经有病毒在电脑里 还是顺利装了KB 这种情况 05/14 16:01
572F:→ winddriver: 有可能发生吗? 05/14 16:01
573F:→ a5413eric: 事呢 05/14 16:01
574F:推 rockho: 和wsx显示一样 但我已安装的list中却找不到KB0419264... 05/14 16:35
575F:推 KKKBRENDA: 感谢原po的提供和解答,也是出现跟wsx26997785的一样 05/14 17:29
576F:→ KKKBRENDA: 终於更新好了 05/14 17:29
577F:→ WhiteMouse: 想问一下 关掉这服务 会影响到什麽相关软体的使用吗? 05/14 18:54
578F:推 fkcsunshine: 我的显示『your windows is 10 or 2016, don't need 05/14 20:01
579F:→ fkcsunshine: to check EtneralBlue 』请问这样是正常的吗? 侦 05/14 20:01
580F:→ fkcsunshine: 测前已经关掉网路芳邻了 05/14 20:01
581F:→ ica72: 下载解压缩後 avast显示有问题已封锁+删除 05/14 20:22
582F:→ ica72: 请问我的avast太敏感吗? 05/14 20:22
583F:推 kirax20a: 请问这样是有中还没中?还是说要先把SMB 1打开再跑一次 05/14 20:55
584F:→ kirax20a: 检测程式? 05/14 20:55
586F:推 winddriver: 抱歉问一下 win7如果已经关掉SMB 还要再关445port吗 05/14 21:07
587F:→ winddriver: 如果要关445 port要怎麽关? 谢谢 05/14 21:07
588F:推 LIEBHERR: 同ica大 avast不给开 在更新完64包之後就不给试了 05/14 21:08
589F:推 kirax20a: 我的AVAST也是会跳警告然後隔离 但我还是把它拉出来设 05/14 21:10
590F:→ kirax20a: 排除 05/14 21:10
591F:→ ica72: 是有看到前面有讨论说 avast最近很挡.exe档 不晓得是不是这 05/14 21:11
592F:→ ica72: avast怪怪 重新压缩 又没事了 变成我跟kirax大一样 05/14 21:27
593F:推 light531: 我也跟kr大的图一样耶 这样算OK吗 05/14 21:27
594F:推 nicolas0608: er:10057 不允许传送或接收资料的要求 因通讯端并未 05/14 21:37
595F:推 kirax20a: 那图显示的也只是说你有把洞补起来 然後就没其他资讯了 05/14 21:37
596F:→ kirax20a: 自己有另外用线上检测的网站跑过 结果是说OK 但因为我 05/14 21:38
597F:→ kirax20a: 是吃手机网路的分享讯号 也不知道那IP到底是手机的还是 05/14 21:38
598F:→ kirax20a: 电脑的... 05/14 21:38
599F:→ nicolas0608: 连线 而且在资料包通讯端使用sendto呼叫进行传送时 05/14 21:39
600F:→ ica72: 我电脑是刚好w2重灌+更新档也更新完 05/14 21:40
601F:→ nicolas0608: 并未提供地址 (kb4012598 found) 05/14 21:40
602F:→ ica72: 只有照指示把SMB关掉+445 TCP UDP关掉 05/14 21:41
603F:推 kirax20a: 结果刚才仔细翻了推文 imasa大有说到我那状况是确定OK的 05/14 21:47
604F:推 ica72: 感谢kirax大说明 谢谢!! 05/14 22:05
605F:推 ica72: 也感谢imasa大详细的文章 谢谢!!~ 05/14 22:35
606F:推 kirax20a: 别 要谢就谢imasa大吧!我也只是个有求於各位大神的乡民 05/14 22:39
607F:→ kirax20a: 而已 05/14 22:39
609F:→ ying8375: 请问这是怎麽了? 05/14 23:23
610F:推 billy870302: 这样是有中? 05/15 01:19
612F:推 fantasibear: 我的画面显示跟楼上billy一样...正想问 05/15 01:35
613F:推 fantasibear: 主要是多了already installed MS17-010这句 05/15 01:44
※ 编辑: imasa (114.42.160.182), 05/15/2017 02:39:10
614F:推 dragonchaing: 这个代表你有更新了系统漏洞了 不用怕被攻击 05/15 02:56
615F:推 add2451: 感谢imasa大!!! 赞叹imasa大!!! (跪) 05/15 03:50
616F:推 billy870302: dra大 所以我这是更新成功罗? 05/15 05:52
617F:推 amearashi: 公司电脑的AVG 免费版防毒说这个程式是木马不给开TT 05/15 09:31
618F:→ amearashi: 但在家里电脑测试时家里的卡巴什麽都没说啊,需要先关 05/15 09:31
619F:→ amearashi: Avg再测吗TT 05/15 09:31
620F:→ dave9898: 已经中了才关SMB1会显示什麽 05/15 09:58
622F:→ snownow: win7出现此讯息闪退,这台装的是摆渡防毒,不知有无关联 05/15 11:30
624F:→ bgt5vfr4: 但没有i大文章中提到的No presence of DOUBLEPULSAR SMB 05/15 12:11
625F:→ bgt5vfr4: 请问这样是表示没有病毒感染潜伏吗? 谢谢 05/15 12:12
626F:→ imasa: @snownow 这应该是你的防毒软体把连线中断了 05/15 12:56
627F:→ imasa: @bgt5vfr4你有装更新 所以跑不到那段code,这样就暂时安全了 05/15 12:57
629F:→ kine0109: 因为安装KB4019264时,显示未安装... 05/15 17:00
630F:推 lalafly: 不好意思请问我的画面为什麽一直卡在这呢? 05/15 18:02
632F:推 lalafly: 请问我这样是不是没关成功呢 05/15 18:13
633F:推 lalafly: 没事了!! 等久一点之後就跑出来了XD 谢谢分享~~~ 05/15 18:15
※ 编辑: imasa (114.42.160.182), 05/15/2017 22:59:43
635F:→ imasa: 请用1.07喔 应该有解决这个问题 05/16 13:03
636F:推 insane1102: 请问这样是安全吗? 05/16 16:24
639F:→ ying8375: 要如何解决? 05/16 21:18
640F:推 malegobe: 太可怕,还是异地备份一下好了。 05/17 00:00
641F:→ imasa: @insane1102 有安装KB,暂时安全了 05/17 01:30
642F:→ imasa: @ying8375 这是wmi query错误,请问你已经安装KB了吗? 05/17 01:31
643F:→ insane1102: 谢谢imasa大大 05/17 03:44
644F:→ ying8375: 我有安装更新KB4019264 这个没有用吗?? 05/17 21:46
645F:推 cingguy: 感谢教学~~~ 05/18 22:58