推 ShaoYui: 感謝分享 我也有下載但那時安裝時被MSE給擋下來刪除了沒 05/06 12:13
→ ShaoYui: 安裝成功 回家再檢查看看有沒有中毒 05/06 12:13
推 SuperSg: powershell.exe是什麼檔案? 我發現我有一個,但安裝日期 05/06 12:42
→ SuperSg: 是2009年了 05/06 12:42
推 catzvicky21: 感謝分享 掃出66個檔案 刪除之後powershell.exe 就沒 05/06 12:55
→ catzvicky21: 出現了 繼續觀察 05/06 12:55
→ hn9480412: powershell.exe是系統本來就有的殼層命令列程式 05/06 13:29
→ hn9480412: 如果要類比的話就是OS X(Un*x)的終端機 05/06 13:30
推 SuperSg: 所以說這個檔案沒錯,是病毒借用這個檔案搞事這樣? 05/06 13:31
對。
→ hn9480412: 而這個powershell跟普通的CMD(命令提示字元)概念類似 05/06 13:33
→ hn9480412: 但是Powershell可以透過指令執行腳本 05/06 13:33
→ hn9480412: 而Powershell也可以輸入cmd後下cmd的指令 05/06 13:34
→ hn9480412: 主要還是看那個powershell.exe位置在哪裡 05/06 13:36
→ hn9480412: 我是沒有中過啦,但如果是這樣的話可以推測是透過PS 05/06 13:36
→ hn9480412: 來遠端執行腳本指令 05/06 13:36
→ gwofeng: 除了工作排程器那個編程,其他都是別的程式的東西 05/06 14:34
→ gwofeng: 似乎也不只能靠工作排程器來啟動而已 05/06 14:39
→ gwofeng: AdwCleaner或其他防毒軟體有時候也會掃不到 05/06 14:40
推 SuperSg: 掃好了,掃出了2X個 05/06 15:00
→ hn9480412: 你要注意的是PS正常只會在這個位置 05/07 02:51
沒錯,我在工作管理員看到它的↑「映像路徑名稱」是正常位置的,
並不是一個假的powershell.exe出現在不正常的地方在運作。
※ 編輯: DrDisk (106.107.152.150), 05/07/2017 07:45:42
推 c0dedger9527: 掃到84個威脅,清除之後重新開機繼續觀察 05/07 21:28
推 M499830236: 、ㄕㄕㄕㄝˉㄕㄝㄕ 05/10 07:55
推 e1q3z9c7: 可以用noscript平常把js檔封鎖 05/14 12:37
→ e1q3z9c7: norton noscript 05/14 12:38