作者Keffton (Keff)
看板AntiVirus
標題[問題] 剛灌好的win7不知道怎麼中勒索的
時間Thu Jul 13 17:33:11 2017
昨天重灌電腦NB,將XP升級成win7。
但是一灌好SP1、IE11、MSE(微軟對win7出的防毒),
開始update後直接就出問題。
update更新到約莫97個左右,
MSE一直跳出警示一個病毒檔案「mssecsvc.exe」在C:\windows下,
MSE清不掉、手動刪除也刪不掉,因為刪掉後又持續再生出來。
當時NB是直接接上Hinet的數據機(已設定ip為192.168.0.202),
同時開機只有XP(update已經全滿)的主機(已設定ip為~.201),
網段都一樣(255.255.255.0)。
另外因為7在客廳,xp在房間,我有用ultraVNC透過內網連到7去看update進度。
XP當時在上網看露天拍賣,win7就專心給它update。
NB中標後,立即關機。回頭去查XP,搜尋mssecsvc.exe與tasksche.exe兩檔,沒有發現;
再回頭去查前幾天才開機過的win81跟win10兩台(兩台也都update全滿),
也都沒有發現。XP用熊貓掃了一遍、81跟10也用defender掃了,也全部沒有發現。
後來有朋友說,這是透過網芳散佈的,一定是我的環境不安全。
基於研究精神,我又把NB重灌了一次win7,這次索性連192.168.x.x的ip都不設定了,
果真這次都沒有跳出病毒訊號。
我實在挺納悶的,這病毒怎麼進來的?
為什麼我其他XP、81、10都沒發現,剛灌7就中呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.231.136.161
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1499938394.A.AEF.html
1F:推 DaringDo: mssecsvc.exe不是之前Win7 WinXP大漏洞的時候的病毒嗎 07/13 19:33
2F:→ DaringDo: 如果是剛重灌Win7,那表示會有漏洞,那病毒會自己跑進去 07/13 19:33
3F:→ DaringDo: 那次漏洞就是從網路芳鄰衝進去的 07/13 19:34
4F:→ DaringDo: [情報] WanaCrypt0r 2.0 大規模攻 07/13 19:34
5F:→ DaringDo: 作者imasa 兩篇看看 07/13 19:34
6F:→ abram: 用上上上面那一篇的Eternal Blues掃描看看 07/13 22:05
7F:→ ilanese: 同一個HUB的電腦通通不要開,再重灌那台電腦WIN7還有更新 07/13 22:10
8F:→ ilanese: 。 07/13 22:10
9F:→ Adven: 重灌後先別急著插網路更新 先關smb1 07/13 23:09
10F:→ st20511: mssecsvc.exe是wannacry沒有錯 07/13 23:31
11F:→ st20511: 另外也代表你已經也中了DoublePulsar的後門 07/13 23:32
12F:→ st20511: 跟樓上的建議一樣 重關後先不要上網 把smbv1關掉 07/13 23:33
13F:→ Keffton: 感謝大大們熱心回答 話說 那是win7自己單獨中的?還是 07/14 00:54
14F:→ Keffton: 病毒透過我的XP直接網芳到7才讓win7中的? 07/14 00:54
15F:推 Kasper0202: 這病毒趨勢可以刪掉 07/14 10:55
16F:推 chang0206: 你重灌、更新的時候,有拔網路線嗎? 07/14 11:28
17F:推 DaringDo: XP那次也有特別更新 看你有沒有去更新到 07/14 14:06
18F:→ DaringDo: 8那次也有 07/14 14:07
19F:→ DaringDo: 10的話是免疫那波攻擊,沒有那次攻擊的漏洞 07/14 14:07
20F:→ Keffton: 重灌跟更新都插著網路線 第二次重灌就沒設ip 07/16 23:00