※ 引述《Crushredkiss (KappaOuO)》之銘言： : http://i.imgur.com/ubxJjxj.jpg : 我C碟Windows資料夾底下目前出現這個 : 而去防毒軟體看之後發現 : http://i.imgur.com/EfVVbhh.jpg : 我電腦在5/7就把item.dat擋下來了 : 目前電腦是沒有異樣但高度懷疑是目標了 : 我是Windows7，請問大神們這樣有防堵的機會嗎 : 有參考上面i大的文章 #1P5amuty 關閉SMBv1協定了 前幾天幫朋友裝Bitdefender也有掃到 他沒更新win7，應該是透過SMB漏洞感染 本來以為刪掉就沒事 結果之後每三小時就跳Web Threat Blocked通知 顯示scrcons.exe(系統檔案用來執行wmi腳本)試著連線 wmi. mykings. top:8888/test.htm1 wmi. mykings. top:8888/kill.htm1 防毒更新後再掃也沒有異狀 查了google才發現是WMI腳本劫持 (常見於瀏覽器首頁綁架，防毒掃不到) 就是利用WMI腳本定時執行 建立工作排程下載木馬 (這邊有裝防毒應該都會偵測到) 但是防毒抓不到源頭的WMI腳本 才會一直定時執行下載木馬… 解法很簡單： 1.下載微軟 Autoruns https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns 把WMI的 fuckyoumm2_consumer 腳本刪掉 (名稱可能不同，注意紅底標示的非系統項目) 再把工作排程 Mysa 刪掉 (名稱可能不同就檢查執行內容) 順便檢查啟動項目有沒有怪東西 2.下載微軟 Process Explorer https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer 檢查程序中有沒有 rundll32.exe 掛載 item.dat 把他kill掉 檢查 c:\windows\debug\ 刪除 item.dat 收工 這隻木馬原本好像是透過SQL注入 1月時就被大蜘蛛和卡巴收錄病毒庫 到4月底SMB漏洞改用WMI腳本劫持才比較多案例 但不像wannacry主動攻擊，中的人也不多 而且下載的是已經入庫的木馬 有裝防毒頂多就是定時掃到跳通知 XD 有類似症狀的記得檢查WMI 相關資料： Dr.Web 病毒資料 https://vms.drweb.com/virus/?i=14934685 New(ish) Mirai Spreader Poses New Risks https://goo.gl/N1o9IL Vinc's Blog windows应急响应（20170503） https://goo.gl/2JSLoM EternalBlue Exploit Actively Used to Deliver Remote Access Trojans https://goo.gl/JWpzAA -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.86.145 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1495815058.A.883.html 編輯：補充內容並修改標題方便搜尋。 ※ 編輯: mkz6 (122.116.86.145), 08/13/2017 10:19:11