作者imasa (便當俠)
看板AntiVirus
標題Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間Sat May 13 07:58:41 2017
※ 引述《imasa (便當俠)》之銘言:
: 有興趣的人可以看看
:
: http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
:
: 在此就先不浪費篇幅在這post了
:
: 推 bignose0623: 想請問如何知道電腦有無中獎?在檔案尚未察覺被加密 05/13 05:28
: → bignose0623: 前,感謝 05/13 05:28
這裡有偵測的script下載
https://github.com/countercept/doublepulsar-detection-script
或者你也可以下載我改寫後打包起來的程式來偵測:
v1.07
https://mega.nz/#!7Upx3ZaS!vUxKXP9I5uYETZp2HoswrS61RRH7sw3saPiFnGord-k
備用載點:
https://www.mediafire.com/?za4wl8cbqaoyy3l
執行前請確認檔案有無被偷改過
v1.07 File Info
Executable File SHA1: 6ADAABF9B3CBA780B90CAE3AEE411F27EB0E22A4
Executable File Size: 9,248,982 Bytes
檢查自己機器時,左鍵點兩下程式就可以了 (XP除外)
下面是程式執行後的偵測結果
現在會直接掃描電腦是否有安裝相關的的 MS17-010 KB
KB號碼參考同討論串其他網友分享的ID
尚未被攻擊:
顯示 No presence of DOUBLEPULSAR SMB implant
http://imgur.com/bhha3st
被攻擊成功:(WanaCrypt0r可能已進行加密中或潛伏期)
http://imgur.com/BXFTu8G
按照我前文的內容把SMBv1協定關閉時
顯示 This machine has already closed SMBv1 protocol
這是我自己加的、原本的script沒有這段,會跳exception
這是win7的範例圖
http://imgur.com/vxjHIth
winXP的範例圖
http://imgur.com/wCqEQzJ
偵測程式的其他用法請參考原始script的說明
--
貧血軟派羅傑君
http://roger6.blogspot.tw
熱血系列粉絲團
http://www.facebook.com/KunioGame
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494633528.A.DFC.html
1F:推 akay08: 推推 05/13 08:15
2F:推 coolcliff01: 補充一下 Win10 開這會被擋 要選擇仍要執行才會動 05/13 08:18
3F:推 rbdgemzo: 感謝你 05/13 08:20
4F:推 abram: 昨天這麼熱鬧 我卻因為林奕含案沮喪到關機逃過一劫 冥冥之 05/13 08:20
5F:→ abram: 中也許是林女在保佑我的電腦 謝謝啦 05/13 08:20
6F:推 luminous214: 請問vista有得補漏洞嗎QQ?我的最後卡在去年的更新但 05/13 08:22
7F:→ luminous214: 也是一直無法下載 ,是因為不支援了所以檔案整個沒得 05/13 08:22
8F:→ luminous214: 載了嗎?謝謝 05/13 08:22
9F:推 noddle: 推 05/13 08:30
10F:推 proletariat: 在熱門板排名快衝到前10了@@ 05/13 08:39
11F:→ proletariat: 哇嗚 已經進前10了 05/13 08:40
12F:推 xjp004123: win10用了直接跑一下馬上不見,跨某 05/13 08:53
13F:→ imasa: win10不需要用這個 本身就沒漏洞了... 05/13 08:55
14F:推 xjp004123: 好的,謝謝 05/13 08:56
15F:→ alkahest: 感謝! 05/13 09:00
16F:推 e446582284: 目前沒中,但本身是盜版win7,更新5月的會藍屏…… 05/13 09:01
17F:→ e446582284: 現在不知道要不要換win10… 05/13 09:01
18F:推 germun: win10不是沒漏洞, 是正常情況下已經強制幫你更新了... 05/13 09:05
19F:→ germun: 問題是在有沒有更新, 不在win10還win7... 05/13 09:05
20F:→ HELLDIVER: 喔喔喔 人數持續攀升中 05/13 09:09
21F:推 kohinata: 大半原因是新聞在抱了 05/13 09:10
22F:推 chachabetter: 當初剛裝WIN10覺得強制自動更新很靠盃,現在覺得關 05/13 09:17
23F:→ chachabetter: 掉才是不知死活QQ 05/13 09:17
24F:推 bee13014125: win7 sp1,檔案直接放在C: 顯示已經停止運作 05/13 09:19
25F:→ bee13014125: 不知道跟使用者名稱是中文有沒有關係? 05/13 09:19
26F:推 ciaerin: 昨晚電腦怪怪的,要怎麼知道自己有沒有中啊 05/13 09:25
27F:→ imasa: 路徑請不要有中文 05/13 09:25
28F:推 ciaerin: 我的意思是...我不敢再練網了,沒練網的情況下可以知道 05/13 09:27
29F:→ ciaerin: 嗎 05/13 09:27
30F:推 bee13014125: 我直接放在C:\底下耶 完全沒中文 05/13 09:29
31F:推 paul40807: 推這篇 05/13 09:33
32F:推 andylee84126: 我打開來以後顯示點任意鍵繼續但 點下去後就跳出了 05/13 09:37
33F:推 b24333666: 推 05/13 09:38
34F:推 okitasoshi: 這一定要推 05/13 09:38
35F:推 geesupreme: 推! 05/13 09:40
36F:推 mrporing: 昨天沒開機,早上起來看到就想拔儲存槽,只留系統槽更新 05/13 09:46
37F:→ HELLDIVER: 我的習慣是用外接盒 但系統碟裡的檔案就沒辦法了 05/13 09:48
38F:推 b24333666: W10開起會閃跳 05/13 09:48
39F:推 F16V: 請教目前有win8的災情嗎 05/13 09:50
40F:→ F16V: 還是都8.1? 05/13 09:50
41F:→ HELLDIVER: win8都在中槍名單中 05/13 09:50
42F:→ F16V: gg QQ 05/13 09:51
43F:→ carlyu: 請問出現closed是否也代表沒有被implant? 05/13 09:53
44F:→ carlyu: 謝謝 05/13 09:53
45F:推 tzback: 我Win10也是閃一下就關了 什麼都沒看到 05/13 09:55
46F:推 bignose0623: 感謝 05/13 09:58
47F:推 alex90236: 幫推 感謝強者幫忙整理 05/13 09:58
48F:推 tonyxfg: 請問我點了後,出現無法連線,因為目標電腦拒絕連線,這 05/13 10:04
49F:→ tonyxfg: 是代表什麼情況? 05/13 10:04
50F:→ HELLDIVER: 就關起來了這樣 05/13 10:06
51F:推 tonyxfg: 喔喔,所以這代表我的電腦已經堵上這個洞了嗎?非常感謝 05/13 10:08
52F:推 daidairu: 我想請問一下這支程式 假如我已經中毒了 但後來關掉SMB 05/13 10:11
53F:→ daidairu: 那顯示結果會是 你被攻擊了 還是 你關SMB 所以安全了? 05/13 10:11
55F:推 Seattle995: win10 會怕!所以早上就1607更新成1703了 @@ 05/13 10:17
56F:推 r1426000000: 那要怎麼樣關閉SMBv1呢? 05/13 10:20
57F:→ hn9480412: Vista可以補到4月份以前的漏洞 05/13 10:20
58F:推 andrewyllee: 我電腦沒那個協定耶 W7 05/13 10:21
※ 編輯: imasa (114.42.160.182), 05/13/2017 10:31:59
59F:推 hsr7016: 為啥我路徑也沒中文還是依開啟就當掉? 05/13 10:31
60F:推 hjhj002244: 請問中毒的話NAS也會被感染嗎 05/13 10:32
61F:→ imasa: 我更新了偵測程式,請重新下載 05/13 10:32
62F:→ imasa: 會根據不同windows而有不同的行為,請參考更新後的內文 05/13 10:33
63F:→ imasa: 主要更新內容是win10會跳過、xp需要手動輸入IP 05/13 10:33
64F:→ imasa: vista需要在別台電腦測試 05/13 10:33
65F:推 kreuzritter: 請問昨天Avast攔截到一次mssecsvc.exe,剛剛搜尋電 05/13 10:34
66F:→ kreuzritter: 腦,未發現有相關的檔案 05/13 10:34
67F:→ kreuzritter: 這樣算攔截成功可放心,還是已經中標等哪天自己引爆 05/13 10:35
68F:→ kreuzritter: 了?(win7) 05/13 10:35
69F:→ playerkilled: 感謝I大的文章 05/13 10:38
70F:推 matsuri: 請問,我是照前文關掉SMB1以後才跑偵測軟體, 05/13 10:39
71F:推 MakiseKurisu: 所以要再重新下載一次嗎~? 05/13 10:39
72F:→ MakiseKurisu: mega中的那個檔案 05/13 10:39
73F:推 squrar: 再下一次吧 I大有修正了 05/13 10:40
74F:→ matsuri: 雖然偵測軟體顯示已經關掉,會不會還是有發作的風險? 05/13 10:41
75F:推 MakiseKurisu: 好的 感謝~ 也有在更新檔案中看到新的txt檔 05/13 10:42
76F:→ imasa: 如果別的病毒偷開或是手殘把SMBv1又打開 就會有風險 05/13 10:43
77F:推 Rock0930: 感謝大大無私分享 05/13 10:43
78F:推 matsuri: 筆電重灌回到WIN8後就沒法上8.1,現在挫咧等XD 05/13 10:44
79F:推 gemini2010: 問題是我現在不敢連網RRRRRR 05/13 10:51
80F:推 Ejaculation: 為啥 我也是一打開就停止運作 感恩大大教我 05/13 10:52
81F:→ kondoyu: 有中毒是用撥接還是用分享器上網的 05/13 10:55
82F:→ imasa: Ejaculation能傳張圖給我看看嗎? 停止運作的圖 05/13 10:55
83F:→ HELLDIVER: 不曉得 不過我用分享器上網沒中槍 當然 現在已經更新了 05/13 10:56
84F:→ qama: 請問如果事先用內建的BitLocker把硬碟鎖住有用嗎?@@ 謝謝 05/13 10:57
85F:推 LightEcho: 所以先把SMB關掉再下載偵測軟體嗎? 05/13 11:01
86F:推 johnsky75: 感謝!!!! 05/13 11:05
87F:推 XAIOQ: 想借問一下 如果筆電是雙系統 這樣是不要切到windows那邊就 05/13 11:06
88F:→ XAIOQ: 可以嗎 還是也要更新 05/13 11:06
89F:推 newage5566: 開啟程式都錯誤..路徑都英文了啊 05/13 11:07
90F:推 cospergod: 感謝您的熱心 05/13 11:10
92F:推 slfantasy: 請問WIN10看更新紀錄是要更新哪個才算安全~ 05/13 11:13
93F:推 kaine130243: 小弟的windows服務中。沒看到smb欸。這是代表? 05/13 11:14
94F:推 kevin135k: 感謝 先處理起來避免萬一 05/13 11:16
95F:推 Blueelephant: 請問W7 4月底有更新 這樣還需要更新嗎? 05/13 11:19
96F:推 levihanji: 好奇問一下 這病毒會影響家中wifi嗎 05/13 11:20
98F:→ tzback: #1P5UOwpc 7/8.1看更新代碼有沒有更新到 05/13 11:22
99F:→ imasa: ariawind請問你的作業系統版本是? 05/13 11:24
101F:→ ariawind: 回imasa win7 我剛剛有把smb1設成數值0 05/13 11:25
102F:推 Autumn06513: 跟樓上一樣WIN7但執行檔案會出現停止運作QQ 05/13 11:30
103F:推 megxz: 這樣是有關掉嗎? 05/13 11:32
105F:→ gemini2010: 服且有關掉SMBv1嗎? 還是只代表有關掉SMBv1? 05/13 11:32
107F:→ Adven: @gemini2010,有readme.txt可以看喔 05/13 11:34
108F:推 lovejamwu: 我是win7完了我都沒在更新.... 05/13 11:37
109F:推 MiharuHubby: 我也是開啟錯誤,路徑都英文 05/13 11:37
110F:推 eyeonme: 自己回自己 以解決 我原本的使用者名稱是中文 後來新增一 05/13 11:38
111F:推 Shichimiya: 我也開啟錯誤 路徑都英文 05/13 11:38
112F:→ eyeonme: 個英文的使用者後 登入就可以成功檢測 05/13 11:38
113F:推 ToujouAya: 有沒有人願意教第一個連結下載後怎麼使用QQ 05/13 11:41
114F:→ Shichimiya: 喔喔 用樓樓上的方法成功了 感謝 05/13 11:42
115F:→ imasa: 原來是中文使用者,感謝補充 05/13 11:43
116F:推 ariawind: imasa 我使用者帳戶改成英文也不能耶,要重開? 05/13 11:43
117F:推 Shadow5566: 請問一下,如果win7有更新 ,而且用i大的程式包掃過也 05/13 11:43
118F:→ laechan: 我xp,第二個連結下載後解壓縮,資料夾名我直接改123,放到 05/13 11:43
119F:→ Shadow5566: 顯示(尚未被攻擊或已裝kb)這圖的內容,那還需要去關 05/13 11:43
120F:→ Shadow5566: 閉SMBv1這服務嗎? 05/13 11:43
121F:→ laechan: C:\底下,再對執行檔按右鍵選新增捷徑,然後改捷徑執行為 05/13 11:44
122F:→ laechan: C:\123\detect_doublepulsar_smb.exe --ip xxx.xxx.xxx.x 05/13 11:44
123F:→ laechan: 這樣直接點捷徑就會執行了,剛掃描完 safe, 感謝原po 05/13 11:44
124F:→ laechan: XP使用者可以開防火牆,到[例外]那邊,把vnc,遠端相關的取 05/13 11:45
125F:→ laechan: 消打勾,我的電腦按右鍵選內容,點[遠端],那邊也取消打勾 05/13 11:46
126F:推 zaq1qwer: 請問 我已經中招了 我進入安全模式 把有wana的檔案都刪 05/13 11:49
127F:→ zaq1qwer: 之後還是可以繼續用這顆硬碟嗎? (非系統碟) 謝謝回答~ 05/13 11:50
128F:推 eelse: 感謝,測試完畢正常 05/13 11:51
129F:推 r1426000000: 想請教大家,我已經新增了,但檢測程式跑完沒有出現 05/13 11:53
130F:→ r1426000000: 關閉的字樣 05/13 11:53
131F:推 geken: 感謝 05/13 11:54
132F:→ r1426000000: 我的路徑也都是英文,到底是哪個環節出了問題呢 05/13 11:54
133F:→ laechan: 你系統是什麼? 05/13 11:56
134F:推 r1426000000: Win7! 05/13 11:56
137F:→ laechan: 你這樣就是掃完了吧,第二張圖 05/13 11:58
138F:→ imasa: 名字錯了,是SMB1 05/13 11:58
140F:→ r1426000000: 已更正,重開機試試看 05/13 12:00
141F:推 minihyde: 在LanmanServer中的Parameters新增DWORD才能關閉 05/13 12:00
142F:→ r1426000000: 好!!我終於找到問題了...謝謝各位 05/13 12:01
143F:→ r1426000000: 感激不盡... 05/13 12:02
144F:推 UppityuniQue: 我是Win7,按任意鍵繼續後視窗就關掉了,請問是什麼 05/13 12:02
145F:→ UppityuniQue: 原因呢? 05/13 12:03
146F:推 r1426000000: 謝謝大家,成功關掉了 05/13 12:05
147F:推 Leaves1014: SMB1 已設定 但是用 netstat 依舊是 listening 05/13 12:12
148F:推 Leaves1014: 只要用程式掃 ok 就沒關係嗎? 05/13 12:13
149F:推 skvis: 按任意鍵本來就會關掉 你要看上面那排英文寫什麼 05/13 12:18
150F:推 a47135: 請問訊息是No presence of DOUBLEPULSAR SMB implant代表 05/13 12:19
151F:→ a47135: 就不會中這個勒索病毒了嗎? 05/13 12:19
152F:推 skvis: 是顯示尚未被攻擊 05/13 12:21
153F:推 a47135: 因為本篇是說尚未被攻擊或是已安裝更新,好像沒辦法分出來 05/13 12:22
154F:→ a47135: 到底是已經安裝更新不怕惹還是還沒被攻擊 05/13 12:22
156F:推 bks9587: 請問我可以開啟但按了任意鍵繼續後就直接消失是什麼問題? 05/13 12:24
157F:推 Leaves1014: 表示程式已跑完 要看「任意鍵繼續」上一行英文內容 05/13 12:25
158F:推 a47135: 任意鍵繼續就是表示跑完了阿....任意鍵按下去自然會關閉 05/13 12:26
※ 編輯: imasa (114.42.160.182), 05/13/2017 12:28:18
159F:→ imasa: 修正中文路徑問題,應該可以用中文了,中文使用者再確認 05/13 12:29
161F:推 dd614: win8跑一下就跳到掉正常嗎? 05/13 12:29
163F:→ hsr7016: 一開啟就當掉了 05/13 12:30
164F:→ imasa: 樓上請下載新版本試試 05/13 12:31
165F:→ UppityuniQue: 感謝a大回我,原來是我自己耍笨了... 05/13 12:34
166F:推 tab222777: 所以XP顯示refused SMBv1是代表還沒被攻擊和潛伏嗎? 05/13 12:35
167F:推 hsr7016: 可以執行了 但跳出closed SWBv1的提示的話要再重開在測? 05/13 12:36
168F:推 ggoutoutder: 問一下 我沒辦法更新怎麼辦 他一直在檢查更新 05/13 12:40
169F:推 yizhe: 沒有"尚未被攻擊或已裝KB"提示,只有"SMB關閉"提示就好嗎? 05/13 12:40
170F:推 cbstgb: 感謝版大跟推文大大教學 終於成功了 05/13 12:43
171F:推 log65320: 推 05/13 12:44
172F:推 ericthree: 推推 05/13 12:49
173F:推 thbw666: 感謝原po 05/13 12:50
174F:推 a410046: 太感謝了 05/13 12:52
175F:推 lovecoffee: 我是win8.1 也是一開馬上跳掉 我剛剛12點47分下載 05/13 12:58
176F:→ lovecoffee: 的QQ 路徑全英文 05/13 12:58
177F:→ imasa: 樓上你這個是其他問題 我正在想辦法解決 05/13 12:59
178F:推 argoth: SHA1是不是有變動過了? 05/13 13:01
179F:推 a47135: 想請問一下原PO,尚未被攻擊和已安裝KB更新都是同樣訊息 05/13 13:01
180F:→ a47135: 還是說如果沒裝KB(漏洞還是存在)但是尚未被攻擊的情況下 05/13 13:02
181F:→ a47135: 會有其他訊息提示? 05/13 13:02
182F:推 ss910126: 請問,我只有顯示NO PRESENCE那行並沒有顯示已經關閉 05/13 13:03
183F:→ ss910126: SMBV1 我已經照原PO上一篇的方式操作過了 05/13 13:03
184F:推 Hajimi: 感謝大神,推推! 05/13 13:04
186F:→ lovecoffee: 我趁他消失前截圖下來 05/13 13:05
187F:→ lovecoffee: 請問這是哪邊錯誤呢 感謝 05/13 13:05
188F:→ lovecoffee: 我才看到原po回覆,謝謝您,再麻煩了 QQ 05/13 13:06
190F:→ LT26i: 感恩!!! 05/13 13:06
191F:→ ss910126: 我已經解決了,再次感謝原PO 05/13 13:07
192F:→ ss910126: 各位要注意把機碼名稱 SMB1 05/13 13:08
194F:→ ss910126: 注意機碼名稱改成SMB1 05/13 13:08
195F:推 moneypack3: 解壓縮檔案大小不符耶,是我下載錯了嗎 05/13 13:08
196F:→ milddawn: SHA1 改成這個了? 05/13 13:08
197F:推 OOQ: 檢測完成 感謝 05/13 13:11
198F:推 zelkova: 請問安裝windows更新之後還需要裝這個嗎? 05/13 13:12
199F:→ imasa: @milddawn 改了,請對照readme文件內的SHA1 05/13 13:13
200F:推 HowardxApple: 淚推 你專業 05/13 13:14
201F:推 n12052233g: win8.1一開就自動關掉視窗 怎麼辦呢 05/13 13:23
202F:推 milddawn: 謝! 05/13 13:31
203F:推 LightEcho: 不好意思請問一下 這樣SMB有關掉了嗎?(win7) 05/13 13:31
205F:推 luminous214: 可是我的vista一直無法更新 ,都停在0不會動 …只能 05/13 13:35
206F:→ luminous214: 這幾天先別開機orz 05/13 13:35
207F:→ imasa: @LightEcho 對、改好記得重開機 05/13 13:36
208F:推 revolute: 推熱血 05/13 13:44
209F:推 LightEcho: 那有不用連網就能檢查電腦是否有病毒的辦法嗎? 05/13 13:48
210F:→ LightEcho: 很害怕一連網就中標(已經更新到五月版本 5/12更新) 05/13 13:48
211F:→ LightEcho: 不好意思麻煩您了 05/13 13:48
212F:推 newage5566: 中文名稱版本可執行,檢查已關閉SMB1,謝謝原PO 05/13 13:50
213F:推 chi12345678: 已改QQ感謝 05/13 13:57
214F:推 GhriS: 記得win10也有這漏洞 但好像沒更新也不會中? 05/13 13:59
215F:推 ashkaze: 請問我是先手動關閉SMB再下載偵測程式檢查,如果也是出現 05/13 13:59
216F:→ ashkaze: 已關閉訊息代表目前機器無漏洞是不是? 05/13 13:59
217F:推 Yakiko: 感謝 掃完顯示已關閉SMBv1 05/13 14:09
218F:推 abram: 感謝 把路由器445 port關閉 確實就顯示已經關閉SMB了 05/13 14:21
219F:推 lynked: mega下載來的檔案SH1跟原po提供的不符耶?? 05/13 14:30
220F:推 Dkky: File SHA1: 7D4F81F475A96BD28403F6F2E76C054DA62A1C3E 05/13 14:32
※ 編輯: imasa (114.42.160.182), 05/13/2017 14:33:46
221F:→ imasa: 抱歉是我文章沒更新到 你貼的這SHA1是正確的 05/13 14:34
222F:→ Dkky: readme檔案裡面寫的 05/13 14:35
223F:推 powerg5: 我從MEGA下載的檔案其SHA1和dkky提供的不同 05/13 14:36
225F:→ powerg5: 壓縮檔的內容難道有再改動過嗎? 05/13 14:37
226F:推 Dkky: 解壓縮後的exe檔 SHA才是我貼的那一串 05/13 14:40
227F:→ imasa: @powerg5 你這是壓縮檔的SHA1,我寫的是裡面執行檔的 05/13 14:42
228F:推 wsx26997785: 如果顯示潛伏期 該怎麼解決? 05/13 14:42
229F:推 yao7174: win8.1 下載顯示11點半左右更新的還是會直接跳掉耶 05/13 14:46
230F:推 wade520: 關掉SMB還需要更新嗎?? 05/13 14:47
231F:推 beckyH: 請問是先關掉SMB1然後下載偵測之後再更新嗎?445port也要 05/13 14:56
232F:推 ariawind: 感謝imasa大,新版已可以使用 已關閉 SMBv1協定 05/13 14:56
233F:→ ariawind: 想問一下之後還需要打開他嗎? 05/13 14:56
234F:→ beckyH: 關嗎?~~ 05/13 14:56
235F:→ imasa: @wade520 關掉SMBv1只是救急,還是請盡快更新 05/13 15:02
236F:→ imasa: @ariawind 不用開了 那是老舊的東西 05/13 15:02
237F:推 aaa89025: 問一下蠢問題,關閉SMB後中華電信的小烏龜wifi會受到影 05/13 15:05
238F:→ aaa89025: 響嗎.謝謝 05/13 15:05
239F:推 andy0526: 顯示 No presence of DOUBLEPULSAR SMB implant就OK了? 05/13 15:07
240F:→ andy0526: 不懂SMBv1協定? 05/13 15:07
241F:推 Phaeton: 謝謝imasa,但是想請問現在win7 執行是關掉SMBv1而已,這 05/13 15:14
242F:→ Phaeton: 樣就可以? win10的兩台電腦 是都正常更新 就說不用檢查 05/13 15:14
243F:→ Phaeton: 非常謝謝原po教學 05/13 15:15
244F:推 wade520: 感謝imasa解答 05/13 15:17
245F:推 rininan: 很久沒用電腦了躲過一劫,感謝原po教學 05/13 15:18
246F:推 Duncan0722: 不好意思想請問一下樓主,如果我中毒前有將部分檔案 05/13 15:23
247F:→ Duncan0722: 放入手機裡面,之後我電腦重灌win10,手機再插入電腦 05/13 15:23
248F:→ Duncan0722: 後,電腦還有可能因為手機裡面以前的檔案而再次中毒 05/13 15:23
249F:→ Duncan0722: 嗎,手機裡面的檔案也會被影響到嗎,謝謝您 05/13 15:23
250F:推 miaomiao35: 感謝大神相助 大神一生平安! 05/13 15:28
251F:推 confri427: 照原PO的方法關SMB 但是偵測程式還是跳尚未被攻擊那行? 05/13 15:30
252F:→ semih: 請問xp已關掉SMBv1和已下載更新KB4012598 偵測出來只顯示關 05/13 15:32
253F:→ semih: SMBv1 但沒顯示No presence of DOUBLEPULSAR SMB implant 05/13 15:33
254F:→ semih: 請問這是哪邊沒注意到 ? 05/13 15:33
255F:推 miaomiao35: 顯示關掉SMB1就是安全了吧? 05/13 15:35
256F:推 horseorange: 推 05/13 15:40
257F:推 icemc: semih 我跟你一樣沒顯示那行 不過上網站測已經安全了 05/13 15:50
258F:推 Usecase: 請問如果是windows server 2012 r2,有辦法執行這支檢測 05/13 15:56
259F:→ Usecase: 程式嗎?謝謝 05/13 15:57
260F:推 willix83: 載點掛了!? 05/13 15:58
261F:推 link5566: 載點掛了 有人能補嗎? 05/13 16:01
262F:推 Wall62: icemc大請問你是上什麼網站測的 05/13 16:01
263F:→ imasa: 我剛才在更新程式,不好意思 馬上補載點 05/13 16:14
※ 編輯: imasa (114.42.160.182), 05/13/2017 16:15:28
264F:推 idfpigeon: 他跑完會自己關掉欸 還來不及看到訊息QQ 05/13 16:18
265F:→ imasa: 請問樓上的windows版本是? 05/13 16:20
267F:推 hornybaron: 推一個 正在做預防工作 非常謝謝你分享的內容 05/13 16:21
268F:推 ABC0000: 我的win7 跑完也會直接關掉 05/13 16:22
270F:推 n12052233g: I大 我的也會 我開起來後視窗自動關掉 我是win8.1 05/13 16:23
271F:推 Sallina: 我的win7跑完也是很快關掉 05/13 16:23
272F:推 infi23: 我也被關掉了QQ 05/13 16:24
273F:推 gary78123: Win7跑完會自己關掉 05/13 16:25
274F:推 hornybaron: 剛剛抓完 Win7 跟樓上一樣跑完直接關掉來不及看QQ 05/13 16:26
275F:推 jedisteven: 我的win7跑完也是很快關掉 看不到訊息QQ 05/13 16:27
277F:→ JieshinRS: 這樣是什麼意思QAQ 05/13 16:27
278F:推 Livia222: 也是來不及看到訊息,就自動關閉了。 05/13 16:28
279F:推 warrigal: 推熱心的高手 請問假如後來才把smb關掉 可是之前就中毒 05/13 16:28
280F:→ warrigal: 會顯示什麼呢 05/13 16:28
281F:推 idfpigeon: 我的是win 7 旗艦山寨板 05/13 16:30
282F:推 roveralex: 感謝分享 05/13 16:30
283F:→ imasa: @JieshinRS 那是debug用的訊息 可以不管他 05/13 16:31
284F:推 Wall62: iceme大感謝 05/13 16:31
285F:推 JieshinRS: 所以這樣是有關掉ok的嗎 還是有中毒……不好意思我是電 05/13 16:32
286F:→ JieshinRS: 腦白痴QAQ 05/13 16:32
287F:推 lkj12tw: win7跑完自己關掉+1 05/13 16:32
288F:推 noise5566: 感謝你 05/13 16:33
289F:推 sid19881025: 感謝大大..真的感謝大大 05/13 16:34
291F:推 ESC5566: 有用有推!! 05/13 16:42
292F:推 iamdavidga: 先手動關了再來跑 都直接跳掉 好不容易有截圖到 05/13 16:42
293F:推 Sallina: 請問能放回前面那一版的測試程式嗎?這一版的跑完會跳掉 05/13 16:44
294F:推 catchco: win7 跳掉+1 05/13 16:45
295F:推 peter840606: 請問跳出This machine has already close SMBv1.... 05/13 16:48
296F:→ peter840606: 是只代表關閉了協議 還是同時代表關閉協議和沒中毒 05/13 16:49
298F:→ Backmann: TypeError是指><? 05/13 16:50
299F:推 vester: 一直更新失敗,何解? 05/13 16:53
300F:推 alyh: 有做更新 跑程式有顯示找到最新的KB更新 但跟上面一些板友 05/13 16:54
※ 編輯: imasa (114.42.160.182), 05/13/2017 16:56:24
301F:→ alyh: 貼的圖一樣 下面顯示TypeError 然後跑完秒關 >"< 05/13 16:54
302F:→ imasa: TypeError應該已經修復了,請重新下載新版 05/13 16:57
303F:推 c309023: 謝謝大大,可以安心了 05/13 16:57
304F:推 olelehas: 謝謝原PO,辛苦了 05/13 16:58
305F:推 peter840606: @imasa 那請問跳出已經關閉協議也同時代表沒中毒嗎? 05/13 16:58
306F:推 alyh: 謝謝原PO 辛苦你了 檢查完畢沒有問題~ 05/13 17:02
307F:推 mapledog: 感謝I大 新版成功跑完未檢測出 真的辛苦你了!! 05/13 17:04
308F:推 Backmann: 感謝i大!新版顯示SMB1已關閉!太開心了! 05/13 17:08
309F:推 iamdavidga: 感謝I大 真心感謝您 QQ 05/13 17:10
310F:推 maydayue: 謝謝i大,不過我跑出來只顯示SMBv1已關和找到KB4019264 05/13 17:16
311F:→ maydayue: 沒有顯示有沒有被攻擊 05/13 17:17
312F:推 omanorboyo: win7點完就跳掉怎辦? 05/13 17:18
313F:推 alyh: 樓上是載到舊版嗎? 剛剛更新過的版本應該不會跳掉了 @@ 05/13 17:19
314F:推 pths313: 用了104版還是會跳掉呢 05/13 17:20
315F:推 happysunny: 請問關閉這個會影響到什麼功能呢? 想知道自己平常會 05/13 17:23
316F:→ happysunny: 不會用到 05/13 17:23
317F:推 omanorboyo: 有了104版本可行 感謝大大 05/13 17:29
319F:推 tsaumond: 請問一下有顯示KB4xxxxxx found是否就是代表漏洞已補好? 05/13 17:31
320F:→ ERQQ: win7跳掉 +1 05/13 17:31
321F:→ imasa: 你們請先下載新版試試看,看影片你像是用舊版本的 05/13 17:35
322F:→ imasa: @happysunny 關閉SMBv1 windows應該會去用SMBv2 05/13 17:37
323F:推 Adven: 感謝更新版本 05/13 17:37
324F:推 catchco: 請問跑完是顯示already"refused" SMBv1...是一樣的意思嗎 05/13 17:39
325F:→ SeTeVen: 請問win8怎麼辦QQ 05/13 17:40
326F:推 higuma47: 請問win7執行後跳出UnicodeEncodeError怎麼辦QQ,有確定 05/13 17:44
327F:→ higuma47: 是用104版本,檔案路徑也確定只有英文… 05/13 17:44
329F:推 lovecoffee: 請問更新版本是? 我今天12點47分下載的 一樣是開 05/13 17:46
330F:→ lovecoffee: 了馬上跳掉@@ 05/13 17:46
331F:推 SpaghettI101: 請問一下win7用104版一樣閃退,附上閃退瞬間截圖: 05/13 17:48
333F:推 alyh: @love 剛剛下午16:56有最新版本更新喔 重載看看吧 05/13 17:49
334F:推 lovecoffee: 好的 感謝您 05/13 17:51
335F:推 pths313: 跟SpaghettI101很類似的情況閃退~win7是32位元的 05/13 17:56
336F:→ pths313: 阿~跟higuma47的相同才是~完全一樣的內容 05/13 17:57
338F:→ iSad56: 再拜託大大 05/13 17:59
339F:→ alyh: 樓上你的影片就不能放個安全點的地方 像是YOUTUBE嗎? =_= 05/13 18:04
340F:推 OSAME: I大 新版1.04反而XP 32位元會錯誤 原本1.01正常 05/13 18:04
341F:推 jerrywalker: 請問更新完還要打開SMBv1嗎? 已確定關掉和安裝更新了 05/13 18:09
344F:→ iSad56: (104版任意鍵後跳出)[WIN7] (youtube重傳) 05/13 18:14
345F:推 OSAME: XP我用101版沒問題 我剛剛刻意試兩個版本 05/13 18:15
346F:→ imasa: @iSad56 這樣的運作方式是正常的 我沒看到什麼錯誤? 05/13 18:18
347F:→ imasa: @OSAME 因為101還不會掃描XP的KB 05/13 18:18
※ 編輯: imasa (114.42.160.182), 05/13/2017 18:23:04
348F:推 lovecoffee: 有成功了 再下載一次就可以了!感謝 05/13 18:23
349F:→ imasa: 已更新1.05連結、發生問題的人請下載新版試試看 05/13 18:23
350F:→ lovecoffee: 以前我也是都不安裝更新的,最近兩年買新電腦才開始 05/13 18:24
351F:→ lovecoffee: 讓它更新,只要是重要更新,更下去就是了QQ 05/13 18:24
352F:推 iSad56: 但是我沒有看到No presence of DOUBLEPULSAR SMB implant 05/13 18:26
353F:推 zxcv820421: 問一下 點大大提供的打包程式 直接是顯示說 05/13 18:26
354F:→ zxcv820421: This machine has already closed SMBv1 protocol 05/13 18:26
355F:→ zxcv820421: 這樣是成功了嗎? 05/13 18:26
356F:推 jpfly: 請問1.05版是否可以增加mega以外的載點?>人< 05/13 18:26
357F:→ iSad56: 或是任何其他的結果 它就直接關掉了呢@@ 是正常的嗎 05/13 18:26
358F:→ zxcv820421: 沒有跑出No presence of DOUBLEPULSAR SMB implant 05/13 18:26
360F:→ flywan: 這樣是ok嗎? 05/13 18:30
361F:推 wunno: 請問若偵測被攻擊成功 但似乎還沒有檔案被加密(?) 那這時 05/13 18:30
362F:推 lovecoffee: 我成功的是104版本 05/13 18:30
363F:→ wunno: 才開始關SMB1 安裝更新檔來的及嗎? 或是直接重灌了? 謝謝 05/13 18:31
364F:推 duringtime: 1.05 XP檢測成功....1.04 掃KB會閃退 05/13 18:34
365F:→ imasa: @flywan 有1.05了喔,請改用1.05試試看 05/13 18:38
※ 編輯: imasa (114.42.160.182), 05/13/2017 18:39:07
367F:推 DaringDo: XP要怎麼執行?@@ 05/13 18:40
368F:噓 ShiinaMayuri: 請問 先關SMBv1 再做偵測 這順序對嗎??? 05/13 18:41
369F:→ imasa: 可以 05/13 18:43
370F:→ imasa: @DaringDo 要打開命令列,開始->執行->輸入cmd 05/13 18:44
371F:推 acro72: 感謝~新版的在xp可以正常檢測了~ 05/13 18:44
372F:推 kaorucyc: 1.05執行成功 05/13 18:45
373F:推 DaringDo: 喔喔 我抓的是1.04 05/13 18:46
374F:→ aa82732664: 如果用大大的程式沒被攻擊會顯示什麼出來呢 05/13 18:46
375F:推 iSad56: 105版跟104版狀況一樣 任意鍵後跳出 沒看到結果 [win7] 05/13 18:47
376F:→ iSad56: 再麻煩大大幫忙 05/13 18:47
377F:推 DaringDo: 喔 我會了.. 感謝回答@@ 05/13 18:52
378F:推 qwertasdfgh: 執行前請確認檔案有無被偷改過,請問要怎麼確認呀? 05/13 18:52
379F:→ imasa: @iSad56 從你的影片來看 你的SMBv1已經關掉了 05/13 18:52
380F:推 flywan: 1.05版跟zxcv82大的狀況一樣 不過目前沒看到檔案加密 05/13 18:53
381F:→ flywan: 幸好5月初有跑安全性更好 05/13 18:53
382F:推 ez2dancer: 推,想請問如果Win7已經安裝過微軟修補檔,還需要再 05/13 19:02
383F:推 ez2dancer: 防火牆關閉Port445嗎?那SMBv1服務呢? 05/13 19:04
384F:推 noitcidda: 1.05成功 感謝大大 05/13 19:04
386F:→ imasa: 暫時safe, 請盡快安裝更新 05/13 19:06
388F:→ qwertasdfgh: 請問I大,看我的狀況應該是沒問題,可是怎麼還有安裝 05/13 19:08
389F:→ qwertasdfgh: 還有安裝MS17-010,請問這樣是安全的嗎? 05/13 19:09
390F:推 schiffer: 推推! 05/13 19:10
391F:推 sx366: 感激不盡 05/13 19:16
392F:推 alyh: @qwert 那是說你的電腦已經有把這個漏洞補起來了 05/13 19:19
393F:推 qwertasdfgh: 原來如此,謝謝A大說明 05/13 19:22
396F:推 zxcv820421: 我是成功了 可是電腦下載更新包說不適用更新... 05/13 19:25
397F:→ imasa: @cy4750 打開命令列,開始->執行->輸入cmd然後輸入提示指令 05/13 19:26
398F:→ imasa: @qwertasdfgh 提示你已經有安裝了 這是安全的 05/13 19:27
399F:推 cccmar: 推推,感謝大大協助!!! 希望大家電腦資料都安全~ 05/13 19:28
400F:→ imasa: @ez2dancer SMBv1已經過時 可以不需要了 現在都v2以上 05/13 19:28
402F:→ lovecoffee: 出現這樣 但是沒有顯示 has already installed ms17- 05/13 19:30
403F:→ lovecoffee: 010 05/13 19:30
404F:→ lovecoffee: 這樣也是ok的嗎? 05/13 19:30
405F:→ imasa: @lovecoffee 少加個判斷而已 我1.05已經加了 05/13 19:34
406F:推 cy4750: 我輸入那串+ip之後 顯示"不是內部或外部命令 可執行的程式 05/13 19:35
407F:推 victoryss: thanks 沒更新 但是檢查安全 呼呼 我可愛ㄉA片 05/13 19:35
408F:推 lovecoffee: OK 好的 非常感謝您 !! 05/13 19:35
409F:→ cy4750: 或批次檔" 這樣代表我少打了什麼嗎?? 05/13 19:35
410F:推 qwertasdfgh: 十分謝謝I大 05/13 19:38
411F:→ imasa: @cy4750 你應該是執行錯指令了、上個圖看看你輸入什麼吧 05/13 19:42
412F:推 cy4750: detect_doublepulsar_smb.exe --IP 這樣?? 05/13 19:44
413F:→ imasa: 你還要找出你的IP,可以輸入ipconfig去找 05/13 19:45
414F:推 lovecoffee: 這系列文很棒,有沒有版友做個總整理!? 非常感謝i 05/13 19:46
415F:→ lovecoffee: 大及p大 以及推文中熱心的版友:) 05/13 19:46
416F:推 cy4750: 有 我有找到IP了 我輸入的就是這串 後面是我查到的IP這樣 05/13 19:46
417F:→ imasa: 那你大概是目錄錯了...要到執行檔的目錄去執行喔 05/13 19:48
419F:→ hl571536xz: 我已經裝了更新檔,但仍顯示未安裝,這樣會有問題嗎? 05/13 19:48
420F:→ imasa: @hl571536xz有可能是安裝時寫key的路徑我沒掃描到 05/13 19:50
421F:→ imasa: 如果可以的話 輸入regedit->按F3->輸入KBID 看看他出現在哪 05/13 19:50
422F:推 min0502: AAAAAAAAAAAAAAAAAAAAAAAAAA 05/13 19:52
424F:→ cy4750: 請問這樣代表???謝謝回應 05/13 19:56
425F:→ cy4750: XP已經有裝那個更新檔了 但是沒有關SMB 想先測看看 05/13 19:57
426F:→ cy4750: 請問裝完更新之後還要去關SMB嗎 05/13 19:57
428F:推 looscfor: 請問顯示目前未被攻擊,但偵測程式說我未安裝更新,可是 05/13 19:59
429F:→ looscfor: 我看控制台更新記錄已經安裝完成了,這樣該怎麼處理呢? 05/13 19:59
430F:→ looscfor: 謝謝 05/13 19:59
431F:推 min0502: i大 不好意思 剛剛確認電腦沒事後就開著電腦放著睡著了 05/13 20:01
432F:→ min0502: 基於果 05/13 20:01
433F:推 cmid05: 推 05/13 20:03
434F:→ imasa: @hl571536xz 是的,能麻煩你把所有有關的路徑都找給我嗎? 05/13 20:04
435F:推 min0502: 小貓亂踩誤發推文 真的很不好意思 05/13 20:06
436F:推 ShiinaMayuri: XD 貓圖ㄋ? 05/13 20:10
※ 編輯: imasa (114.42.160.182), 05/13/2017 20:14:22
437F:推 hl571536xz: 有辦法將相關路徑一次匯出嗎?這路徑還挺多的XD 05/13 20:16
438F:→ imasa: 可能沒辦法 你找HKLKM和CUEERNT_USER底下的路徑給我就好 05/13 20:19
439F:推 zero75559851: 推 05/13 20:21
440F:推 mkflyk23: XP可試試上面laechan大推文的方法:執行檔右鍵>建立捷徑 05/13 20:26
441F:→ mkflyk23: 捷徑右鍵>內容,目標>後面加上 --ip xxx.xxx.xxx.x 05/13 20:26
443F:→ mkflyk23: 完成後確定,再去點該捷徑就可執行 05/13 20:26
445F:推 hl571536xz: 我弄成txt丟到google雲端了,看看是不是你需要的 05/13 20:28
447F:推 popeks1331: 推XP使用方法!! 成功確認沒問題!感恩 05/13 20:37
448F:推 lolicone: 謝謝 執行中 05/13 20:38
450F:→ semih: 感謝 但xp我用捷徑的方式會閃退 只好打cmd手動輸入ip就ok了 05/13 20:39
451F:→ semih: 樓上 detect_doublepulsar_smb.exe --ip 很像空一格才行 05/13 20:41
452F:推 mkflyk23: --ip 前後都要空一格 05/13 20:47
454F:→ bill0205: 第二行是? 05/13 20:48
455F:推 lovecoffee: 樓上這樣就是ok沒問題囉 05/13 20:50
456F:推 bill0205: 感謝 05/13 20:51
457F:推 akiraonlyone: 感謝i大,順利跑完程式確認沒問題了 05/13 20:53
458F:推 lovecoffee: 但都是暫時擋下這一波QQ 還是得乖乖更新系統 05/13 20:56
459F:推 arichage: 有用有推!感謝提供!! 05/13 20:58
461F:→ fayered: 請問如果我顯示這樣是安全的嗎 05/13 21:03
462F:推 lovecoffee: 大大你的跟bill大是一樣的 05/13 21:05
463F:推 saiulbb: 謝謝分享 上了一課 05/13 21:07
464F:推 salang: 我是無法下載改寫後的版本 他說ERRRO... 請問如何處理QQ 05/13 21:07
465F:→ salang: 我的是WIN7 05/13 21:07
466F:推 fayered: 可是我的沒顯示No presence of DOUBLEPULSAR SMBimplant 05/13 21:08
467F:→ fayered: 超抖的 05/13 21:10
468F:推 lovecoffee: 因為你先關了smb才跑程式對嗎 05/13 21:16
469F:→ lovecoffee: 我關之前跑過一次,也是這樣結果哦 05/13 21:17
470F:推 CuteGG: 請問下載完,點程式兩下,等他跑訊息跑出 05/13 21:17
471F:→ CuteGG: No presence of DOUBLEPULSAR SMB implant 05/13 21:18
472F:推 PTTakatsuki: 請問imasa大,系統win8測試之後是如下的畫面 05/13 21:19
473F:→ CuteGG: 訊息裡面有看到這段字就是目前安全嗎 05/13 21:19
474F:推 fayered: 所以我要打開再跑嗎 05/13 21:22
475F:推 chired: 想請問一下 如果已經離線更新 登錄檔SMB1(0)要刪掉嗎? 05/13 21:24
477F:推 lovecoffee: f大,應該不用 已經顯示KB4012216 found 洞已經被堵 05/13 21:30
478F:→ lovecoffee: 住,請問imasa大,是這樣對嗎? 05/13 21:30
479F:推 ricky88052: 感謝大神 05/13 21:31
480F:推 kay00503: 請問也有人裝了KB4019264 但是偵測說沒裝的嗎 05/13 21:31
481F:推 lgng66133: no 05/13 21:35
482F:推 lgng66133: 沒有顯示No presence of DOUBLEPULSAR SMBimplant的話 05/13 21:39
483F:→ lgng66133: 是要再把smb開起來跑一次程式嗎 05/13 21:39
484F:推 hoij79627: 感謝 05/13 21:43
486F:推 snosaes5566: 搞定惹!感謝imasa大大 05/13 21:46
489F:→ imasa: KB4019264的安裝方式用的是CPS安裝 這條路我沒有偵測到 05/13 22:21
490F:→ imasa: 晚點補上 05/13 22:21
491F:推 LightEcho: 推 謝謝這篇的幫助 雖然我還是不敢連線來偵測潛伏病毒 05/13 22:23
492F:推 SnowTrance: your system is already installed MS17-010 什麼意思 05/13 22:31
493F:→ CuteGG: 用那個檢查程式要連網路嗎? 05/13 22:32
494F:推 sl910654: 真的是一邊流淚一邊推 太感謝 05/13 22:45
495F:推 LightEcho: 不是要先下載下來嗎? 05/13 22:46
496F:→ skts: 兩個檔案均被修改過,請作者重新確認,謝謝(File SHA1不符) 05/13 23:26
497F:推 koheik2: 閃一秒就關了win7啥都沒顯示??? 05/13 23:29
499F:→ werlight: 有安裝更新但好像無法執行偵測 05/13 23:36
500F:推 zincs: 感謝!!! 05/13 23:36
501F:推 kitoik5427: 感謝!! 幸好自己還沒中標 但一直沒辦法成功更新..... 05/14 00:18
502F:推 s60609s: 請問各位 我從去年三月中後更新都失敗 剛手動載了4019264 05/14 00:22
503F:→ s60609s: 也成功安裝了4019264 但前面更新還是失敗 這樣安全嗎? 05/14 00:23
504F:→ lolicone: 這樣有裝成功 只要有其中一個就行了 05/14 00:28
505F:推 s60609s: 感謝 05/14 00:29
506F:推 heycircle: 必須推 05/14 00:39
507F:推 XDylan: 感謝 05/14 00:44
508F:推 wayhowhown: 真心感謝大大 05/14 00:48
509F:推 kitoik5427: 不好意思 請教一下 剛剛成功啟動後關閉 05/14 00:59
510F:→ kitoik5427: 想要放到其他資料夾裡 卻跳出無法完成動作 05/14 01:01
511F:→ kitoik5427: 資料夾裡的檔案已在其他程式開啟 ??? 05/14 01:01
512F:→ kitoik5427: 但我明明確認資料夾和執行檔都關閉了阿 05/14 01:02
513F:→ evanabc: test 05/14 01:03
514F:→ kitoik5427: 難道是程式只是畫面關閉 其實還在執行嗎 05/14 01:03
515F:→ kitoik5427: 請問有什麼辦法可以檢查嗎 05/14 01:03
517F:→ hotisaac: 先謝謝,小弟是電腦白痴 請有經驗的幫解答 05/14 01:04
518F:→ Ladizman: 是的 05/14 01:07
519F:推 hotisaac: 謝謝樓上 也謝謝原po 05/14 01:27
520F:推 LightEcho: 1.05版本也能一併檢查是否被病毒入侵潛伏嗎? 05/14 01:28
521F:→ LightEcho: 先謝謝大大了 05/14 01:28
522F:推 azuresmile: 請問SHA1要從哪裡看呢? 05/14 01:55
523F:推 mjmj0316: 我剛剛看了一下大小好像不太對? 05/14 01:59
524F:推 crazycy: 不考慮開個源嗎XD 直接丟exe有些人會怕吧 05/14 02:01
525F:→ imasa: 大小請看實際大小不是磁碟大小喔 05/14 02:05
526F:→ imasa: SHA1看的是裡面執行檔 不是壓縮檔本身喔 05/14 02:06
527F:→ imasa: 謝謝、有考慮要開源、但目前會先等code穩定下來再考慮這事 05/14 02:07
529F:→ stacy62123: 這個後閃退,請問有什麼方法嗎QAQ?感恩原po 05/14 02:28
530F:推 mjmj0316: 感謝大大回覆。已檢測完成 真心感謝 05/14 02:28
※ 編輯: imasa (114.42.160.182), 05/14/2017 03:03:16
531F:→ imasa: 1.06放上去了,執行上有問題的人可以下載看看問題解決了沒 05/14 03:04
532F:推 nanht: 謝謝i大的熱心,感激不盡! 05/14 03:05
533F:推 taihsin: 謝謝大大 已關閉 已檢測 05/14 03:08
535F:推 maxipin: 另外,英文內文只有說,我有阻擋了SMVB1也有更新了 05/14 04:23
536F:→ maxipin: 但是沒有說明最重要的DOUBLEPULSAR SMB implant啊? Orz 05/14 04:24
537F:推 yamasaki07: 計算出來的SHA1跟文章裡的不一樣,是檔案被修改嗎 05/14 07:40
539F:→ as55721: 我看不太懂 ,可以幫我解釋嗎 ?先謝謝幫忙解釋的那位 05/14 08:14
540F:推 ying8375: 求救...Win7開起來 跑個2秒 視窗就不見了 什麼都沒看到 05/14 08:59
541F:→ imasa: @maxipin 如果程式送的SMB requert被你的電腦擋下來 05/14 10:52
542F:→ imasa: 就有可能不會秀出來 那是正常的 05/14 10:53
543F:→ imasa: 另外Exception是程式在搜尋registry時搜到他無法判讀的字元 05/14 10:53
544F:推 c93cj3: @as55721 它叫你去裝KB4019264這個更新 你確認一下裝了沒 05/14 10:53
545F:→ imasa: 這部分跟我們尋找MS17-010 KB是無關的 所以只先秀訊息出來 05/14 10:54
546F:→ c93cj3: @as55721 然後你掃描的結果當下是安全的 05/14 10:54
547F:→ imasa: ying8375 你能用命令列執行看看嗎? 還有請確認是1.06版 05/14 10:55
548F:推 xliu: 如果偵測中了請問要怎麼處理? 05/14 11:19
549F:推 parkyu531: win10強制更新才是先知 05/14 11:30
551F:→ wsx26997785: 我沒看到 No presence of DOUBLEPULSAR SMB implant 05/14 11:31
552F:推 maynightdado: 關掉SMB1之後下去測 顯示已經關閉 那測的到關閉之 05/14 11:35
553F:→ maynightdado: 前有沒有中嗎?還是已經中了也會顯示出來@@? 05/14 11:35
554F:推 lylia0338: 我的狀況跟樓上一樣 05/14 11:37
555F:→ lylia0338: 也是沒看到No presence of DOUBLEPULSAR SMB implant 05/14 11:38
556F:推 yaowei2010: 我跟wsx大一樣 感覺是沒問題 05/14 12:04
557F:→ brain1472000: 這個病毒跟WW3會有關係嗎? 05/14 12:06
558F:推 juchmm: SHA1要怎麼看 05/14 12:28
559F:推 LightEcho: 有指定或建議的解壓縮方式嗎 再次感謝大大 05/14 12:55
561F:→ dknas55: 請問出現這種狀況,是哪個環節錯了呢? 05/14 13:09
562F:推 concertotc: 同wsx26997785一樣是? 05/14 14:06
563F:推 winddriver: 我的狀況也和wsx26997785一樣 已經關掉SMB也已經更新 05/14 15:27
564F:推 cockroach00: 謝謝大大 05/14 15:30
565F:推 drwolf: 我的電腦也跟wsx大一樣!! 這樣是沒問題巴?! 05/14 15:50
566F:推 kenji1111: 狀況同wsx 這樣是安全的嗎? 05/14 15:54
567F:推 diabetes: 謝謝i大以及推文的各位,順利檢查更新了win7跟xp 05/14 15:55
568F:→ imasa: 和wsx26997785顯示一樣的人就是有安裝KB了 這樣就沒問題了 05/14 15:56
569F:推 winddriver: 抱歉請問一下 如果有裝好KB 是不是就代表病毒不會進來 05/14 16:00
570F:推 a5413eric: 請問我顯示kb4019264找到 卻沒顯示安裝MS17010是怎麼回 05/14 16:01
571F:→ winddriver: 那如果已經有病毒在電腦裡 還是順利裝了KB 這種情況 05/14 16:01
572F:→ winddriver: 有可能發生嗎? 05/14 16:01
573F:→ a5413eric: 事呢 05/14 16:01
574F:推 rockho: 和wsx顯示一樣 但我已安裝的list中卻找不到KB0419264... 05/14 16:35
575F:推 KKKBRENDA: 感謝原po的提供和解答,也是出現跟wsx26997785的一樣 05/14 17:29
576F:→ KKKBRENDA: 終於更新好了 05/14 17:29
577F:→ WhiteMouse: 想問一下 關掉這服務 會影響到什麼相關軟體的使用嗎? 05/14 18:54
578F:推 fkcsunshine: 我的顯示『your windows is 10 or 2016, don't need 05/14 20:01
579F:→ fkcsunshine: to check EtneralBlue 』請問這樣是正常的嗎? 偵 05/14 20:01
580F:→ fkcsunshine: 測前已經關掉網路芳鄰了 05/14 20:01
581F:→ ica72: 下載解壓縮後 avast顯示有問題已封鎖+刪除 05/14 20:22
582F:→ ica72: 請問我的avast太敏感嗎? 05/14 20:22
583F:推 kirax20a: 請問這樣是有中還沒中?還是說要先把SMB 1打開再跑一次 05/14 20:55
584F:→ kirax20a: 檢測程式? 05/14 20:55
586F:推 winddriver: 抱歉問一下 win7如果已經關掉SMB 還要再關445port嗎 05/14 21:07
587F:→ winddriver: 如果要關445 port要怎麼關? 謝謝 05/14 21:07
588F:推 LIEBHERR: 同ica大 avast不給開 在更新完64包之後就不給試了 05/14 21:08
589F:推 kirax20a: 我的AVAST也是會跳警告然後隔離 但我還是把它拉出來設 05/14 21:10
590F:→ kirax20a: 排除 05/14 21:10
591F:→ ica72: 是有看到前面有討論說 avast最近很擋.exe檔 不曉得是不是這 05/14 21:11
592F:→ ica72: avast怪怪 重新壓縮 又沒事了 變成我跟kirax大一樣 05/14 21:27
593F:推 light531: 我也跟kr大的圖一樣耶 這樣算OK嗎 05/14 21:27
594F:推 nicolas0608: er:10057 不允許傳送或接收資料的要求 因通訊端並未 05/14 21:37
595F:推 kirax20a: 那圖顯示的也只是說你有把洞補起來 然後就沒其他資訊了 05/14 21:37
596F:→ kirax20a: 自己有另外用線上檢測的網站跑過 結果是說OK 但因為我 05/14 21:38
597F:→ kirax20a: 是吃手機網路的分享訊號 也不知道那IP到底是手機的還是 05/14 21:38
598F:→ kirax20a: 電腦的... 05/14 21:38
599F:→ nicolas0608: 連線 而且在資料包通訊端使用sendto呼叫進行傳送時 05/14 21:39
600F:→ ica72: 我電腦是剛好w2重灌+更新檔也更新完 05/14 21:40
601F:→ nicolas0608: 並未提供地址 (kb4012598 found) 05/14 21:40
602F:→ ica72: 只有照指示把SMB關掉+445 TCP UDP關掉 05/14 21:41
603F:推 kirax20a: 結果剛才仔細翻了推文 imasa大有說到我那狀況是確定OK的 05/14 21:47
604F:推 ica72: 感謝kirax大說明 謝謝!! 05/14 22:05
605F:推 ica72: 也感謝imasa大詳細的文章 謝謝!!~ 05/14 22:35
606F:推 kirax20a: 別 要謝就謝imasa大吧!我也只是個有求於各位大神的鄉民 05/14 22:39
607F:→ kirax20a: 而已 05/14 22:39
609F:→ ying8375: 請問這是怎麼了? 05/14 23:23
610F:推 billy870302: 這樣是有中? 05/15 01:19
612F:推 fantasibear: 我的畫面顯示跟樓上billy一樣...正想問 05/15 01:35
613F:推 fantasibear: 主要是多了already installed MS17-010這句 05/15 01:44
※ 編輯: imasa (114.42.160.182), 05/15/2017 02:39:10
614F:推 dragonchaing: 這個代表你有更新了系統漏洞了 不用怕被攻擊 05/15 02:56
615F:推 add2451: 感謝imasa大!!! 讚嘆imasa大!!! (跪) 05/15 03:50
616F:推 billy870302: dra大 所以我這是更新成功囉? 05/15 05:52
617F:推 amearashi: 公司電腦的AVG 免費版防毒說這個程式是木馬不給開TT 05/15 09:31
618F:→ amearashi: 但在家裡電腦測試時家裡的卡巴什麼都沒說啊,需要先關 05/15 09:31
619F:→ amearashi: Avg再測嗎TT 05/15 09:31
620F:→ dave9898: 已經中了才關SMB1會顯示什麼 05/15 09:58
622F:→ snownow: win7出現此訊息閃退,這台裝的是擺渡防毒,不知有無關聯 05/15 11:30
624F:→ bgt5vfr4: 但沒有i大文章中提到的No presence of DOUBLEPULSAR SMB 05/15 12:11
625F:→ bgt5vfr4: 請問這樣是表示沒有病毒感染潛伏嗎? 謝謝 05/15 12:12
626F:→ imasa: @snownow 這應該是你的防毒軟體把連線中斷了 05/15 12:56
627F:→ imasa: @bgt5vfr4你有裝更新 所以跑不到那段code,這樣就暫時安全了 05/15 12:57
629F:→ kine0109: 因為安裝KB4019264時,顯示未安裝... 05/15 17:00
630F:推 lalafly: 不好意思請問我的畫面為什麼一直卡在這呢? 05/15 18:02
632F:推 lalafly: 請問我這樣是不是沒關成功呢 05/15 18:13
633F:推 lalafly: 沒事了!! 等久一點之後就跑出來了XD 謝謝分享~~~ 05/15 18:15
※ 編輯: imasa (114.42.160.182), 05/15/2017 22:59:43
635F:→ imasa: 請用1.07喔 應該有解決這個問題 05/16 13:03
636F:推 insane1102: 請問這樣是安全嗎? 05/16 16:24
639F:→ ying8375: 要如何解決? 05/16 21:18
640F:推 malegobe: 太可怕,還是異地備份一下好了。 05/17 00:00
641F:→ imasa: @insane1102 有安裝KB,暫時安全了 05/17 01:30
642F:→ imasa: @ying8375 這是wmi query錯誤,請問你已經安裝KB了嗎? 05/17 01:31
643F:→ insane1102: 謝謝imasa大大 05/17 03:44
644F:→ ying8375: 我有安裝更新KB4019264 這個沒有用嗎?? 05/17 21:46
645F:推 cingguy: 感謝教學~~~ 05/18 22:58