*如果你的檔案已經被加密打不開 不用往下看 這篇文章幫不了忙* 家人的電腦也因為瀏覽伊莉而中毒了， 是Win7 64位元，安全性更新只裝到去年10月， 使用分享器給予的虛擬IP以Wifi的方式連線。 奇怪的是明明4/23晚上就裝的「加料版」flash player偽更新， 到了5/6才處理，但電腦不知為何很幸運的完全沒被加密檔案， 但的確有powershell.exe在運作中。 後來參考此篇文章的第一個解決方式： https://malwaretips.com/blogs/remove-fake-flash-player-update/ 下載了Malwarebytes AdwCleaner（請到官方網站下載↓） https://www.malwarebytes.com/adwcleaner/ 並執行就掃出六個東西再以AdwCleaner刪除，以下是AdwCleaner的清除紀錄。 ***** [ Folders ] ***** Folder Found: C:\ProgramData\apn Folder Found: C:\ProgramData\Partner Folder Found: C:\ProgramData\Application Data\apn Folder Found: C:\ProgramData\Application Data\Partner ***** [ Files ] ***** File Found: C:\Users\PeSh\AppData\Roaming\Mozilla\Firefox\Profiles\ k0zmojwt.default-1438095661788\invalidprefs.js ↑偷加到Firefox個人設定檔的java script（應該吧） ***** [ Scheduled Tasks ] ***** Task Found: 00f978a0-541f-5941-3f488924daf0975f ↑這是加在「系統管理工具→工作排程器」裡的鬼東西， 就是這行設定讓你電腦每次重開機後，就會靠它執行powershell.exe。 目前Windows更新而重開機好幾次後都沒在工作管理員看到powershell.exe了， 也還沒看到被加密的檔案。提供給也有中毒的人清除的方式。 題外話：目前電腦裝的是Microsoft Security Essential，軟體更新到最新版也做了 病毒定義檔更新，一樣掃不到以上那六個東西… 我在發現這個問題時第一時間就先移掉Firefox的Flash Player。這可能沒有必要只是 單純不相信「加料版」的Flash Player所以寧願重裝一次。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.107.152.150 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494043373.A.77D.html 對。 沒錯，我在工作管理員看到它的↑「映像路徑名稱」是正常位置的， 並不是一個假的powershell.exe出現在不正常的地方在運作。 ※ 編輯: DrDisk (106.107.152.150), 05/07/2017 07:45:42