LV. 27
GP 139

【心得】< 5/7 更新 > 清除依莉假FLASH的病毒

樓主 辰逝 gwofeng
GP295 BP-

安裝到伊莉的假FLASH中毒特徵是工作管理員會出現powershell



(補充:PowerShell是Windows內建的腳本命令程式,在此是被病毒腳本利用的工具,並非病毒本體)

經版友反映排程名稱為亂數產生
無法使用批次檔自動刪除
所以改圖文教學手動刪除

這病毒隨機使用兩種載入方式
第一種為使用工作排程器
第二種是登錄檔

首先開啟工作管理員 (CTRL+SHIFT+ESC)
對著WINDOWS POWERSHELL按右鍵,點選結束工作
再來開始下一步

第一種
--
執行工作排程器  ( WIN鍵+R  輸入 Taskschd.msc )
點選 1. 工作排程器程式庫
尋找名稱欄,像 2. 位置那樣的亂碼名稱
右鍵點擊刪除它
(它的動作是執行powershell,點擊下方的動作標籤,出現紅線那動作指令,看到的話就超過87%是它了)


第二種
--
執行登錄編輯程式 ( WIN鍵+R  輸入 REGEDIT )
開啟位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
或者點擊左欄的電腦,按 CTRL+F 搜尋 資料 mshta "javascript:new
找到紅線那個亂碼(隨機)名稱,藍線數值是mshta開頭的,超過87%是它了
右鍵點擊名稱按刪除

重開機確認powershell不再常駐即完成清除


295
-
LV. 8
GP 0
4 樓 瘋狗的過氣胞弟 marshmelloo
GP0 BP-
感謝樓主 真的有用! 推上去
0
-
LV. 13
GP 36
5 樓 NUDY summer83583
GP11 BP-
原PO好心,提供卻被懷疑....

下載好的.bat檔,擔心者可自行右鍵→編輯→查看他的指令好嘛....
11
-
LV. 10
GP 274
6 樓 藍蘋果 Mars7788
GP83 BP-



以下是人話翻譯:
殺左名叫mshta.exe 強制終止,無視遠端指令,消滅其子孫。
殺左名叫powershell.exe 強制終止,無視遠端指令,消滅其子孫。
殺左名叫CONTROL.exe 強制終止,無視遠端指令,消滅其子孫。
照出 4f2d17d3-2330-5313-7ce5b15156acdf17 清除其屬性,清除隱藏屬性,消防read only。
開始任務消滅 4f2d17d3-2330-5313-7ce5b15156acdf17 要求確認消息。
從人口紀錄上刪除BC2CFED5-895D-5179-77A80EDEED332AF8。
公告 清除完畢,請重開機後,使用工作管理員確認已經沒有powershell常駐
公告 若還有,請立刻回報

END
83
-
LV. 31
GP 1k
7 樓 巡查員 lovesky402
GP19 BP-
拿我朋友的 電腦當白老鼠真的有用

幫推
19
-
LV. 15
GP 95
8 樓 都來尻尻ㄛ billy222928
GP0 BP-
推上去
看這帳號應該是真的好心人

0
-
LV. 43
GP 3k
9 樓 中間風格 whhungbill
GP1 BP-
先不評論執行檔是否有用

但powershell只是微軟的新的cmd程序

跟病毒與惡意軟體並沒有直接關聯

例如技嘉的update程式,每次開機都會調用powershell來檢查更新排程,我也很絕望啊
1
-
LV. 48
GP 8k
10 樓 Faith hn9480412
GP17 BP-

這個Powershell.exe是從Windows XP就存在的殼層命令列程式

如果有在Unix-like上玩coding的人對殼層(shell)不會太陌生,殼層的在Linux和Mac是稱為是終端或是終端機(Terminal)



跟原本CMD(命令提示字元)不同的是Powershell有更強大的功能(CMD做得到的Powershell一樣可以做得到),所以才會被利用在這幾次的應用程式入侵

另外你必須要知道正常來說Powershell.exe只會從這個地方執行,不是在這裡執行的有8成都是有問題的


17
-
LV. 7
GP 97
11 樓 宇智波A車 zz22558822
GP3 BP-
我把樓主的批次加上ICON跟自動系統管理身分執行
也把樓主的temp.jpg整合在一起轉EXE
沒加殼 純粹使用 BatToExeConverterPortable
這樣比較方便一些
附載點 MEGA下載

小屋以前也有弄些批次檔
應該不會被質疑吧  
以前有過AVAST誤判的經驗
3
-
LV. 37
GP 3k
12 樓 (祥仔bd祥物語) buddha743
GP0 BP-
※ 引述《gwofeng (辰逝)》之銘言
請問一下 (UC Browser) 如何解套??
0
-
LV. 36
GP 904
13 樓 Wii艦長特裝型 EfreetCustom
GP1 BP-
為什麼我的工作管理員沒找到這個?
只有一個power
1
-
LV. 10
GP 33
14 樓 Moon. Sparkle1228
GP0 BP-
請問如果工作管理員>處理程序裡面沒有powershell是不是就代表沒中?
那天是有下載下來假的flash 不過要安裝時
就被微軟的防毒MSE給擋下來沒安裝成功
檔案目前沒問題
工作管理員也沒看到powershell
這樣是否代表沒事?求解答謝謝

0
-
LV. 13
GP 58
15 樓 まさこ omedetojp
GP0 BP-
好險在下都直接封殺掉Flash、廣告
Chrome是可以設定封殺flash的
廣告封殺交給卡巴了

度的UAC記得打開
至少有點用

0
-
LV. 3
GP 0
16 樓 懶懶的 alqwer951
GP0 BP-
工作管理員已經把powershell停止了 但是登錄編輯程式裡找不到亂碼這樣是中毒嗎?
0
-
LV. 10
GP 7
17 樓 arcanine ji31j4tg3
GP0 BP-
0
-
LV. 23
GP 11
18 樓 R一Morris s954817
GP0 BP-
0
-
LV. 19
GP 23
19 樓 隨風飄逸 edk10000
GP0 BP-
各位大大安  想請問幾個問題

這個假的FLASH他是要你直接下載?還是會要你直接在網站上更新??  

以前我有中過這種的 但是我印象中他是一個廣告軟體突然被轉成另一個網址然後就瞬間下載根本來不及檔
然後我的檔案就被鎖了   

那這次這個 是只有提示要下載?還是也有提示更新??

然後這個要是下載到就會直接發作了??

我記得前一陣子更新GOOGLE瀏覽器之後 好像都會問我要不要開啟FLASH

但看到最近災情嚴重 我也會怕怕的  我有檢查工作管理員裡面沒看到有樓主說的那個powershell

也用AVAST掃毒過了都沒有  這樣是否已經大致上不太可能中了??

抱歉我很緊張 希望各位大大幫幫我 感謝感謝

像是如下這個網站也是有要我安裝插件的訊息 該不會也很危險吧=.=

0
-
LV. 12
GP 24
20 樓 輕鬆自在 cs87081845
GP0 BP-
之前有去點到,不過沒出現powershell.exe,第二種的方法也無發現任何東西在那,應該是沒事吧?

說真的有點怕......

回去翻防毒紀錄才發現,那天他幫我隔離了三個檔案

感謝大大的幫助
0
-

歡迎使用新版哈啦區,若使用發現問題請不吝告訴我們 >> 新手教學

板務人員:

1297 筆精華,07/04 更新
一個月內新增 0
歡迎加入共同維護。


face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】