*如果你的档案已经被加密打不开 不用往下看 这篇文章帮不了忙*
家人的电脑也因为浏览伊莉而中毒了，
是Win7 64位元，安全性更新只装到去年10月，
使用分享器给予的虚拟IP以Wifi的方式连线。
奇怪的是明明4/23晚上就装的“加料版”flash player伪更新，
到了5/6才处理，但电脑不知为何很幸运的完全没被加密档案，
但的确有powershell.exe在运作中。
后来参考此篇文章的第一个解决方式：
https://malwaretips.com/blogs/remove-fake-flash-player-update/
下载了Malwarebytes AdwCleaner（请到官方网站下载↓）
https://www.malwarebytes.com/adwcleaner/
并执行就扫出六个东西再以AdwCleaner删除，以下是AdwCleaner的清除纪录。
***** [ Folders ] *****
Folder Found: C:\ProgramData\apn
Folder Found: C:\ProgramData\Partner
Folder Found: C:\ProgramData\Application Data\apn
Folder Found: C:\ProgramData\Application Data\Partner
***** [ Files ] *****
File Found:
C:\Users\PeSh\AppData\Roaming\Mozilla\Firefox\Profiles\
k0zmojwt.default-1438095661788\invalidprefs.js
↑偷加到Firefox个人设定档的java script（应该吧）
***** [ Scheduled Tasks ] *****
Task Found: 00f978a0-541f-5941-3f488924daf0975f
↑这是加在“系统管理工具→工作排程器”里的鬼东西，
就是这行设定让你电脑每次重开机后，就会靠它执行powershell.exe。
目前Windows更新而重开机好几次后都没在工作管理员看到powershell.exe了，
也还没看到被加密的档案。提供给也有中毒的人清除的方式。
题外话：目前电脑装的是Microsoft Security Essential，软件更新到最新版也做了
病毒定义档更新，一样扫不到以上那六个东西…
我在发现这个问题时第一时间就先移掉Firefox的Flash Player。这可能没有必要只是
单纯不相信“加料版”的Flash Player所以宁愿重装一次。

感谢分享 我也有下载但那时安装时被MSE给挡下来删除了没安装成功 回家再检查看看有没有中毒

powershell.exe是什么档案? 我发现我有一个，但安装日期是2009年了

感谢分享 扫出66个档案 删除之后powershell.exe 就没出现了 继续观察

powershell.exe是系统本来就有的壳层命令列程式如果要类比的话就是OS X(Un*x)的终端机

所以说这个档案没错，是病毒借用这个档案搞事这样?

而这个powershell跟普通的CMD(命令提示字符)概念类似但是Powershell可以透过指令执行脚本而Powershell也可以输入cmd后下cmd的指令主要还是看那个powershell.exe位置在哪里我是没有中过啦，但如果是这样的话可以推测是透过PS来远端执行脚本指令

除了工作排程器那个编程，其他都是别的程式的东西似乎也不只能靠工作排程器来启动而已AdwCleaner或其他防毒软件有时候也会扫不到

扫好了，扫出了2X个

你要注意的是PS正常只会在这个位置http://i.imgur.com/MabrP7f.png

扫到84个威胁，清除之后重新开机继续观察

、ㄕㄕㄕㄝˉㄕㄝㄕ