#1 【心得】< 5/7 更新 > 清除依莉假FLASH的病毒

發表:2017-05-06 16:40:20看他的文開啟圖片

gwofeng(辰逝)


安裝到伊莉的假FLASH中毒特徵是工作管理員會出現powershell



(補充:PowerShell是Windows內建的腳本命令程式,在此是被病毒腳本利用的工具,並非病毒本體)

經版友反映排程名稱為亂數產生
無法使用批次檔自動刪除
所以改圖文教學手動刪除

這病毒隨機使用兩種載入方式
第一種為使用工作排程器
第二種是登錄檔

首先開啟工作管理員 (CTRL+SHIFT+ESC)
對著WINDOWS POWERSHELL按右鍵,點選結束工作
再來開始下一步

第一種
--
執行工作排程器  ( WIN鍵+R  輸入 Taskschd.msc )
點選 1. 工作排程器程式庫
尋找名稱欄,像 2. 位置那樣的亂碼名稱
右鍵點擊刪除它
(它的動作是執行powershell,點擊下方的動作標籤,出現紅線那動作指令,看到的話就超過87%是它了)


第二種
--
執行登錄編輯程式 ( WIN鍵+R  輸入 REGEDIT )
開啟位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
或者點擊左欄的電腦,按 CTRL+F 搜尋 資料 mshta "javascript:new
找到紅線那個亂碼(隨機)名稱,藍線數值是mshta開頭的,超過87%是它了
右鍵點擊名稱按刪除

重開機確認powershell不再常駐即完成清除


最後編輯:2017-05-17 16:55:23 ◆ Origin: <1.170.205.xxx>

顯示稍舊的 42 則留言

#3 RE:【心得】清除依莉假FLASH的病毒

發表:2017-05-06 16:47:48看他的文開啟圖片

k5982455(沒榮民証當什麼中國人)




盜帳號的吧!
有誰敢去試?

最後編輯:2017-05-06 16:47:48 ◆ Origin: <36.235.171.xxx>

#4 RE:【心得】清除依莉假FLASH的病毒

發表:2017-05-06 16:49:31看他的文開啟圖片

marshmelloo(瘋狗的過氣胞弟)

感謝樓主 真的有用! 推上去
最後編輯:2017-05-06 16:53:25 ◆ Origin: <61.58.175.xxx>

#5 RE:【心得】清除依莉假FLASH的病毒

發表:2017-05-06 16:54:59看他的文開啟圖片

summer83583(NUDY)

原PO好心,提供卻被懷疑....

下載好的.bat檔,擔心者可自行右鍵→編輯→查看他的指令好嘛....
最後編輯:2017-05-06 17:15:02 ◆ Origin: <61.220.200.xxx>

顯示稍舊的 1 則留言

#6 RE:【心得】清除依莉假FLASH的病毒

發表:2017-05-06 17:12:32看他的文開啟圖片

Mars7788(藍蘋果)




以下是人話翻譯:
殺左名叫mshta.exe 強制終止,無視遠端指令,消滅其子孫。
殺左名叫powershell.exe 強制終止,無視遠端指令,消滅其子孫。
殺左名叫CONTROL.exe 強制終止,無視遠端指令,消滅其子孫。
照出 4f2d17d3-2330-5313-7ce5b15156acdf17 清除其屬性,清除隱藏屬性,消防read only。
開始任務消滅 4f2d17d3-2330-5313-7ce5b15156acdf17 要求確認消息。
從人口紀錄上刪除BC2CFED5-895D-5179-77A80EDEED332AF8。
公告 清除完畢,請重開機後,使用工作管理員確認已經沒有powershell常駐
公告 若還有,請立刻回報

END
最後編輯:2017-05-06 17:18:56 ◆ Origin: <119.236.113.xxx>

顯示稍舊的 5 則留言

#7 RE:【心得】清除依莉假FLASH的病毒

發表:2017-05-06 17:16:57看他的文開啟圖片

lovesky402(巡查員)

拿我朋友的 電腦當白老鼠真的有用

幫推
最後編輯:2017-05-06 17:16:57 ◆ Origin: <118.233.5.xxx>

顯示稍舊的 2 則留言

#8 RE:【心得】清除依莉假FLASH的病毒

發表:2017-05-06 17:54:39看他的文開啟圖片

billy222928(都來尻尻ㄛ)

推上去
看這帳號應該是真的好心人

手機發文.最後編輯:2017-05-06 17:54:39 ◆ Origin: <49.214.35.xxx>

#9 RE:【心得】清除依莉假FLASH的病毒

發表:2017-05-06 19:40:02看他的文開啟圖片

whhungbill(中間風格)

先不評論執行檔是否有用

但powershell只是微軟的新的cmd程序

跟病毒與惡意軟體並沒有直接關聯

例如技嘉的update程式,每次開機都會調用powershell來檢查更新排程,我也很絕望啊
最後編輯:2017-05-06 19:40:02 ◆ Origin: <140.129.20.xxx>

#10 RE:【心得】<更新> 清除依莉假FLASH的病毒

發表:2017-05-07 03:25:54看他的文開啟圖片

hn9480412(Faith)


這個Powershell.exe是從Windows XP就存在的殼層命令列程式

如果有在Unix-like上玩coding的人對殼層(shell)不會太陌生,殼層的在Linux和Mac是稱為是終端或是終端機(Terminal)



跟原本CMD(命令提示字元)不同的是Powershell有更強大的功能(CMD做得到的Powershell一樣可以做得到),所以才會被利用在這幾次的應用程式入侵

另外你必須要知道正常來說Powershell.exe只會從這個地方執行,不是在這裡執行的有8成都是有問題的


最後編輯:2017-05-07 03:28:36 ◆ Origin: <122.116.4.xxx>

#11 RE:【心得】<更新> 清除依莉假FLASH的病毒

發表:2017-05-07 04:53:01看他的文開啟圖片

zz22558822(宇智波A車)

我把樓主的批次加上ICON跟自動系統管理身分執行
也把樓主的temp.jpg整合在一起轉EXE
沒加殼 純粹使用 BatToExeConverterPortable
這樣比較方便一些
附載點 MEGA下載

小屋以前也有弄些批次檔
應該不會被質疑吧  
以前有過AVAST誤判的經驗
最後編輯:2017-05-07 04:56:06 ◆ Origin: <210.209.214.xxx>

#12 RE:【心得】<更新> 清除依莉假FLASH的病毒

發表:2017-05-07 05:38:02看他的文開啟圖片

buddha743((祥仔bd祥物語))

※ 引述《gwofeng (辰逝)》之銘言
請問一下 (UC Browser) 如何解套??
最後編輯:2017-05-07 05:38:02 ◆ Origin: <36.231.11.xxx>

#13 RE:【心得】<更新> 清除依莉假FLASH的病毒

發表:2017-05-07 07:28:17看他的文開啟圖片

EfreetCustom(Wii艦長特裝型)

為什麼我的工作管理員沒找到這個?
只有一個power
手機發文.最後編輯:2017-05-07 07:28:17 ◆ Origin: <1.160.86.xxx>

#14 RE:【心得】<更新> 清除依莉假FLASH的病毒

發表:2017-05-07 11:36:26看他的文開啟圖片

Sparkle1228(Moon.)

請問如果工作管理員>處理程序裡面沒有powershell是不是就代表沒中?
那天是有下載下來假的flash 不過要安裝時
就被微軟的防毒MSE給擋下來沒安裝成功
檔案目前沒問題
工作管理員也沒看到powershell
這樣是否代表沒事?求解答謝謝

手機發文.最後編輯:2017-05-07 11:36:57 ◆ Origin: <49.216.65.xxx>

#15 RE:【心得】<更新> 清除依莉假FLASH的病毒

發表:2017-05-07 13:06:09看他的文開啟圖片

omedetojp(まさこ)

好險在下都直接封殺掉Flash、廣告
Chrome是可以設定封殺flash的
廣告封殺交給卡巴了

度的UAC記得打開
至少有點用

手機發文.最後編輯:2017-05-07 13:06:09 ◆ Origin: <39.9.233.xxx>

#16 RE:【心得】< 5/7 更新 > 清除依莉假FLASH的病毒

發表:2017-05-13 01:25:11看他的文開啟圖片

alqwer951(懶懶的)

工作管理員已經把powershell停止了 但是登錄編輯程式裡找不到亂碼這樣是中毒嗎?
手機發文.最後編輯:2017-05-13 01:25:11 ◆ Origin: <111.82.136.xxx>

#17 RE:【心得】< 5/7 更新 > 清除依莉假FLASH的病毒

發表:2017-05-14 14:53:01看他的文開啟圖片

ji31j4tg3(arcanine)

最後編輯:2017-05-14 14:53:01 ◆ Origin: <106.105.195.xxx>

#18 RE:【心得】< 5/7 更新 > 清除依莉假FLASH的病毒

發表:2017-05-14 22:54:42看他的文開啟圖片

s954817(R一Morris)

手機發文.最後編輯:2017-05-14 22:54:42 ◆ Origin: <1.170.24.xxx>

#19 RE:【心得】< 5/7 更新 > 清除依莉假FLASH的病毒

發表:2017-05-15 00:25:18看他的文開啟圖片

edk10000(隨風飄逸)

各位大大安  想請問幾個問題

這個假的FLASH他是要你直接下載?還是會要你直接在網站上更新??  

以前我有中過這種的 但是我印象中他是一個廣告軟體突然被轉成另一個網址然後就瞬間下載根本來不及檔
然後我的檔案就被鎖了   

那這次這個 是只有提示要下載?還是也有提示更新??

然後這個要是下載到就會直接發作了??

我記得前一陣子更新GOOGLE瀏覽器之後 好像都會問我要不要開啟FLASH

但看到最近災情嚴重 我也會怕怕的  我有檢查工作管理員裡面沒看到有樓主說的那個powershell

也用AVAST掃毒過了都沒有  這樣是否已經大致上不太可能中了??

抱歉我很緊張 希望各位大大幫幫我 感謝感謝

像是如下這個網站也是有要我安裝插件的訊息 該不會也很危險吧=.=

最後編輯:2017-05-15 00:35:02 ◆ Origin: <111.240.138.xxx>

#20 RE:【心得】< 5/7 更新 > 清除依莉假FLASH的病毒

發表:2017-05-15 05:26:31看他的文開啟圖片

cs87081845(輕鬆自在)

之前有去點到,不過沒出現powershell.exe,第二種的方法也無發現任何東西在那,應該是沒事吧?

說真的有點怕......

回去翻防毒紀錄才發現,那天他幫我隔離了三個檔案

感謝大大的幫助
最後編輯:2017-05-15 05:26:31 ◆ Origin: <59.102.146.xxx>

快速回覆文章,請先登入

哈啦板文章頁
實驗開催中

板務人員:

1296 筆精華,03/02 更新
一個月內新增 0
歡迎加入共同維護。


face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】