LV. 22
GP 3k

【心得】導致服務主機(win10)占用記憶體的惡意軟體:Segurazo

樓主 無乖 mario10
GP161 BP-
發現網路上很多人都有中招,分享我自己確實解決的方法(不能百分百確定每個人一樣)

前陣子公司電腦也中了,開機時都正常,記憶體使用量20%,但是約使用兩小時記憶體使用量80%以上
試過網路上各種方法,什麼指令檔,什麼停用Microsoft服務都沒用,治標不治本
沒中招的人不懂,只會說叫你加裝記憶體,說你記憶體不夠大....

實際上這個問題根本和記憶體大小無關
而是它會隨著時間成長,服務主機慢慢上升記憶體使用量,直至100%為止
也就是你記憶體再大都沒用,只要中招就只是撐的時間問題
以16G記憶體來說,最多撐4小時左右電腦就會告訴你記憶體不足
此時進工作管理員看,畫面大概這樣(公司電腦8G使用約兩小時,所有程式皆關閉)
這些服務主機本來就會有,但它不該有那麼高的使用量

後來我各種比對網路上出現問題的人的圖片,發現了Segurazo這個軟體(網友圖)
它是個偽裝成防護軟體的流氓軟體,你的防毒偵測不到它,WIN10的除錯功能也沒用,它就像擁有神的不在場證明一樣
總之我抱持著刪掉也無傷的心態去刪,真的移除後重開機就一切正常了

唯一要注意的是,有些人會刪不掉它(可自行搜尋:Segurazo 移除)
我自己是沒遇到這狀況,但是我遇到另一個狀況,我的Segurazo在解除安裝程式裡面,名稱不叫Segurazo,所以找不到
我的叫做:SAntivirusService
不排除它還有換名字的可能,可以的話認LOGO最快
所以如果有人有遇到服務主機占用記憶體的狀況,卻又找不到Segurazo,可以試試搜尋SAntivirusService

以上,希望有幫到需要幫助的人。

公司電腦正常後(公司電腦只有8G,已開機三小時以上,之前中招時根本無法用超過三小時)
161
-
LV. 41
GP 1k
2 樓 洛瓦 roway
GP8 BP-

前陣子我也中了
最初是動不動就出現 顯示驅動程式無回應
而且電腦閒置太久會整台死當,只能強制關機

看一下工作管理員才發現記憶體被主機服務吃光光
還多了 SAntivirus 這沒看過的程序,還好只要移除 SAntivirus 這軟體就沒事了
但那段時間我沒裝任何新軟體
就只有 更新了Potplayer
可能因為只是更新所以少了戒心,沒注意到有沒有按到不該按的同意

估狗後看到也有人同樣因為 Potplayer 更新中招
所以有用這套的人請移除它,或者至少把自動更新關閉

8
-
LV. 25
GP 228
3 樓 蜃氣樓不是個咖 t050250
GP30 BP-

Segurazo來源為PotPlayer

來源:
https://www.ptt.cc/bbs/Windows/M.1582150336.A.813.html

推薦的影片撥放軟體名單(自由、開源軟體):
三者播放介面請自行熟悉(或谷歌),要問我最大差別是,SMPlayer可以調整播放速度(2X以上),
其他兩個調整,聲音會變成花栗鼠的聲音(不知道怎麼調)。
1.SMPlayer:

2.MPC-BE (Media Player Classic – Black Edition)
https://sourceforge.net/projects/mpcbe/

3.VLC media player.

補充:
找到解決MPC-BE調整撥放速度不會花栗鼠的方法?原理是英文網址:
http://forum.doom9.org/showthread.php?t=173119
簡單說64位元的系統,請用32位元的MPC-BE撥放器(檔名後面有x86,不要下載x64)
檔名範例:MPC-BE.1.5.4.4969.x86
32位元系統就沒差了XD(天生就不給你用64位元的程式)
30
-
LV. 47
GP 6k
4 樓 極速狂飆 ss168268
GP0 BP-
先前在電應板po過potplayer會帶廣告的主題文章
當時處理方式就停止更新+防火牆擋連網
所以這次segurazo事件剛好閃過去
0
-
LV. 25
GP 618
5 樓 火焰王子 shadymann
GP0 BP-
借串問
魯大師有沒有除了重灌的刪除方法

我現在c槽到處都是lds的文件夾
0
-
LV. 19
GP 67
6 樓 Kujo dc790702
GP0 BP-
安全模式進去移除就好了
已經處理五六台去了

0
-
LV. 22
GP 462
7 樓 煉奶猶阿道夫 lichekin720
GP0 BP-
先道歉一下 我在這方面的知識太少
但是我還是想借文問一下

Window Modules Installer


Window Update

兩個驅動程式是否有僞裝的可能性.

開了工作管理員>服務(也就是microsoft客服的標準答案之一)

停用了兩個服務.
卻還是有幾率性會衝洗啓動.顯示的狀態會從 [停用] 變為 [手動(自動...)]

請問有可能是因為小弟所造成的問題嗎?

小弟會有這個疑問是因為著名的煩人小紅傘AntiVirus已經解決了 這個卻解決不了很奇怪
都可以靠服務永久停用這個連黑洞程式都無法解除安裝的最强防毒軟件.
為什麽這兩個不行?

再者,
他們兩個會同時啓動 造成磁碟崩潰
明明停用了Window總管的主劃面彈出通知.
有測試google的網站通知都被(服務)的[停用]這個無效化了.
這兩個已經停用的驅動程式卻可以跨過總共三個開關自動開啓

有什麽除了重灌以外的解決方法嗎?(再次抱歉 小弟用的是厚身筆電 真的想不出經濟負擔得起的方案)

而且再次抱歉,如果這段文浪費了你的時間的話
0
-
LV. 4
GP 2
8 樓 南天 blue820425
GP0 BP-
多謝提供訊息讓大家可以避免這個惡意軟體,以後載軟體要三思而後行,對岸流過來的軟體最常出現綁首頁或自動幫你裝一些你看都沒看過的程式。
0
-
LV. 42
GP 5k
9 樓 シャイ s78513221
GP1 BP-
回一下留言的部分,綜觀目前公司系統層級來說,通常都是
封鎖外網(Internet)連結,封鎖USB使用/軟體安裝以及電子郵件掃描等項目

但是台灣資安假議題其實也不是近幾年才在喊
說真的,搞上面這些東西很多時候也只是高層跟風喊一喊就叫下面的做了
但強制性嘛,除非是銀行金融保險業有個政府級別的金管會整天搞資安政策上行下效
不然公司自主管理??怕不是IT人員自己挖坑自己跳
畢竟絕大多數的使用者還是相信著「我不上怪怪網站不點來路不明的郵件」就沒事
P.S.銀行金融保險業發生資安問題要通報給金管會,後續報告調查一大堆

封鎖USB跟軟體安裝,大部分也都是針對OS方面的監控設定不然就AD網域
員工覺得很麻煩也只會唉唉叫「萬能的MIS快來幫我想辦法!!」還不是IT吃鍋上層秀政績
反正基層行政職覺得不爽就是跟主管講,主管在跑來要你解開封鎖給大家方便,還不是一樣

P.S
畢竟有些公司只有IE真的超級機掰難用,還不是IE11你就知道了
然後連裝個7ZIP都要權限控管,用Windows內建慢到吐血

封鎖外網(Internet)連結,其實也不是完全封鎖
就你要用的時候可能要輸入員工帳號密碼這樣,但有沒有被監視,不好說

電子郵件掃描對科技業來說比較頭疼
通常單檔限制都在10MB內,有敏感字或類似程式碼的就會被擋,還要跑去找IT放行
配合上面的封鎖外網+USB,雲端跟隨身碟???你別想了
這樣的麻煩點在於很多時候要跟廠商有技術面交流會需要些log資訊很難傳遞
P.S.所以有遇過那種把單檔1MB切成50份慢慢傳的公司

何況也不是這樣封就能百分之百擋得住
個人有遇過有傻逼把中毒的檔案扔在共用區結果每台都中的


1
-
未登入的勇者,要加入 10 樓的討論嗎?
板務人員:

1324 筆精華,03/17 更新
一個月內新增 1
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】