Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统 imasa PTT批踢踢实业坊

Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统

楼主: imasa (便当侠) 2017-05-13 07:58:41

※ 引述《imasa (便当侠)》之铭言：
: 有兴趣的人可以看看
:
: http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
:
: 在此就先不浪费篇幅在这post了
:
: 推 bignose0623: 想请问如何知道电脑有无中奖？在档案尚未察觉被加密 05/13 05:28
: → bignose0623: 前，感谢 05/13 05:28
这里有侦测的script下载
https://github.com/countercept/doublepulsar-detection-script
或者你也可以下载我改写后打包起来的程式来侦测:
v1.06
https://mega.nz/#!aQQWEDAA!BuzKVICsuslIGEjgYRyV8gjxnaopivDV_13H0sUIqEE
备用载点:
https://www.mediafire.com/?jiph1b52d3uuwei
执行前请确认档案有无被偷改过
v1.06 File Info
Executable File SHA1: 3DE8A176F3A8EC4AA33C1DA6B5EB18DFEBDFDEBF
Executable File Size: 9,248,968 Bytes
检查自己机器时，左键点两下程式就可以了 (XP除外)
下面是程式执行后的侦测结果
现在会直接扫描电脑是否有安装相关的的 MS17-010 KB
KB号码参考同讨论串其他网友分享的ID
尚未被攻击:
显示 No presence of DOUBLEPULSAR SMB implant
http://imgur.com/bhha3st
被攻击成功:(WanaCrypt0r可能已进行加密中或潜伏期)
http://imgur.com/BXFTu8G
按照我前文的内容把SMBv1协定关闭时
显示 This machine has already closed SMBv1 protocol
这是我自己加的、原本的script没有这段，会跳exception
这是win7的范例图
http://imgur.com/vxjHIth
winXP的范例图
http://imgur.com/wCqEQzJ
侦测程式的其他用法请参考原始script的说明

作者: akay08 (Ara_K) 2017-05-13 08:15:00

推推

作者: coolcliff01 (OTZ) 2017-05-13 08:18:00

补充一下 Win10 开这会被挡要选择仍要执行才会动

作者: rbdgemzo (Mark) 2017-05-13 08:20:00

感谢你

作者: abram (科科) 2017-05-13 08:20:00

昨天这么热闹我却因为林奕含案沮丧到关机逃过一劫冥冥之中也许是林女在保佑我的电脑谢谢啦

作者: luminous214 (bambi) 2017-05-13 08:22:00

请问vista有得补漏洞吗QQ?我的最后卡在去年的更新但也是一直无法下载，是因为不支援了所以档案整个没得载了吗？谢谢

作者: noddle (noddle) 2017-05-13 08:30:00

推

作者: proletariat (Die Ruinen von Athen) 2017-05-13 08:39:00

在热门板排名快冲到前10了@@哇呜已经进前10了

作者: xjp004123 (超级儿) 2017-05-13 08:53:00

win10用了直接跑一下马上不见，跨某

楼主: imasa (便当侠) 2017-05-13 08:55:00

win10不需要用这个本身就没漏洞了...

作者: xjp004123 (超级儿) 2017-05-13 08:56:00

好的，谢谢

作者: alkahest (==â•(â€²â–½`)â•¯==) 2017-05-13 09:00:00

感谢!

作者: e446582284 (ef225633) 2017-05-13 09:01:00

目前没中，但本身是盗版win7，更新5月的会蓝屏……现在不知道要不要换win10…

作者: germun (ger) 2017-05-13 09:05:00

win10不是没漏洞, 是正常情况下已经强制帮你更新了...问题是在有没有更新, 不在win10还win7...

作者: HELLDIVER (Ζｚz...) 2017-05-13 09:09:00

喔喔喔人数持续攀升中

作者: kohinata (坂东隐世武者) 2017-05-13 09:10:00

大半原因是新闻在抱了

作者: chachabetter (chachabetter) 2017-05-13 09:17:00

当初刚装WIN10觉得强制自动更新很靠杯，现在觉得关掉才是不知死活QQ

作者: bee13014125 (HD2) 2017-05-13 09:19:00

win7 sp1,档案直接放在C: 显示已经停止运作不知道跟使用者名称是中文有没有关系?

作者: ciaerin (^^) 2017-05-13 09:25:00

昨晚电脑怪怪的，要怎么知道自己有没有中啊

楼主: imasa (便当侠) 2017-05-13 09:25:00

路径请不要有中文

作者: ciaerin (^^) 2017-05-13 09:27:00

我的意思是...我不敢再练网了，没练网的情况下可以知道吗

作者: bee13014125 (HD2) 2017-05-13 09:29:00

我直接放在C:\底下耶完全没中文

作者: paul40807 (ㄏㄏ弟) 2017-05-13 09:33:00

推这篇

作者: andylee84126 (andylee) 2017-05-13 09:37:00

我打开来以后显示点任意键继续但点下去后就跳出了

作者: b24333666 (比飞笨) 2017-05-13 09:38:00

推

作者: okitasoshi (八极李书文) 2017-05-13 09:38:00

这一定要推

作者: geesupreme (Andy) 2017-05-13 09:40:00

推!

作者: mrporing (æ³¢åˆ©å…ˆç”Ÿ) 2017-05-13 09:46:00

昨天没开机，早上起来看到就想拔储存槽，只留系统槽更新

作者: HELLDIVER (Ζｚz...) 2017-05-13 09:48:00

我的习惯是用外接盒但系统碟里的档案就没办法了

作者: b24333666 (比飞笨) 2017-05-13 09:48:00

W10开起会闪跳

作者: F16V (Manners maketh man.) 2017-05-13 09:50:00

请教目前有win8的灾情吗还是都8.1?

作者: HELLDIVER (Ζｚz...) 2017-05-13 09:50:00

win8都在中枪名单中

作者: F16V (Manners maketh man.) 2017-05-13 09:51:00

gg QQ

作者: carlyu (EVA-288(Carl)) 2017-05-13 09:53:00

请问出现closed是否也代表没有被implant?谢谢

作者: tzback (籽别颗) 2017-05-13 09:55:00

我Win10也是闪一下就关了什么都没看到

作者: bignose0623 (Tim) 2017-05-13 09:58:00

感谢

作者: alex90236 (洋葱) 2017-05-13 09:58:00

帮推感谢强者帮忙整理

作者: tonyxfg (tonyxfg) 2017-05-13 10:04:00

请问我点了后，出现无法连线，因为目标电脑拒绝连线，这是代表什么情况?

作者: HELLDIVER (Ζｚz...) 2017-05-13 10:06:00

就关起来了这样

作者: tonyxfg (tonyxfg) 2017-05-13 10:08:00

喔喔，所以这代表我的电脑已经堵上这个洞了吗?非常感谢

作者: daidairu (呆呆儒) 2017-05-13 10:11:00

我想请问一下这支程式假如我已经中毒了但后来关掉SMB那显示结果会是你被攻击了还是你关SMB 所以安全了?

作者: squrar (无垠的天空) 2017-05-13 10:14:00

http://imgur.com/NcXk592 win10跑这样算安全?

作者: Seattle995 (995) 2017-05-13 10:17:00

win10 会怕！所以早上就1607更新成1703了 @@

作者: r1426000000 (Di) 2017-05-13 10:20:00

那要怎么样关闭SMBv1呢?

作者: hn9480412 (ilinker) 2017-05-13 10:20:00

Vista可以补到4月份以前的漏洞

作者: andrewyllee (吉他吉他) 2017-05-13 10:21:00

我电脑没那个协定耶 W7

作者: hsr7016 (~å¤©ç†å–µ~) 2017-05-13 10:31:00

为啥我路径也没中文还是依开启就当掉?

作者: hjhj002244 (飞天遁地土拨鼠) 2017-05-13 10:32:00

请问中毒的话NAS也会被感染吗

楼主: imasa (便当侠) 2017-05-13 10:32:00

我更新了侦测程式，请重新下载会根据不同windows而有不同的行为，请参考更新后的内文主要更新内容是win10会跳过、xp需要手动输入IPvista需要在别台电脑测试

作者: kreuzritter (Sundance Kid) 2017-05-13 10:34:00

请问昨天Avast拦截到一次mssecsvc.exe，刚刚搜寻电脑，未发现有相关的档案这样算拦截成功可放心，还是已经中标等哪天自己引爆了？(win7)

作者: playerkilled (揪团看电影) 2017-05-13 10:38:00

感谢I大的文章

作者: matsuri (Lady Bhaalspawn) 2017-05-13 10:39:00

请问，我是照前文关掉SMB1以后才跑侦测软件，

作者: MakiseKurisu (@cher) 2017-05-13 10:39:00

所以要再重新下载一次吗~?mega中的那个档案

作者: squrar (无垠的天空) 2017-05-13 10:40:00

再下一次吧 I大有修正了

作者: matsuri (Lady Bhaalspawn) 2017-05-13 10:41:00

虽然侦测软件显示已经关掉，会不会还是有发作的风险？

作者: MakiseKurisu (@cher) 2017-05-13 10:42:00

好的感谢~ 也有在更新档案中看到新的txt档

楼主: imasa (便当侠) 2017-05-13 10:43:00

如果别的病毒偷开或是手残把SMBv1又打开就会有风险

作者: Rock0930 (这就是人参...) 2017-05-13 10:43:00

感谢大大无私分享

作者: matsuri (Lady Bhaalspawn) 2017-05-13 10:44:00

笔电重灌回到WIN8后就没法上8.1，现在挫咧等XD

作者: gemini2010 (gemini) 2017-05-13 10:51:00

问题是我现在不敢连网RRRRRR

作者: Ejaculation (小易) 2017-05-13 10:52:00

为啥我也是一打开就停止运作感恩大大教我

作者: kondoyu (pppk) 2017-05-13 10:55:00

有中毒是用拨接还是用分享器上网的

楼主: imasa (便当侠) 2017-05-13 10:55:00

Ejaculation能传张图给我看看吗? 停止运作的图

作者: HELLDIVER (Ζｚz...) 2017-05-13 10:56:00

不晓得不过我用分享器上网没中枪当然现在已经更新了

作者: qama (G.M.T.) 2017-05-13 10:57:00

[email protected]@ 谢谢

作者: LightEcho (光音) 2017-05-13 11:01:00

所以先把SMB关掉再下载侦测软件吗？

作者: johnsky75 (Sky) 2017-05-13 11:05:00

感谢!!!!

作者: XAIOQ (xaioq) 2017-05-13 11:06:00

想借问一下如果笔电是双系统这样是不要切到windows那边就可以吗还是也要更新

作者: newage5566 (56新世纪) 2017-05-13 11:07:00

开启程式都错误..路径都英文了啊

作者: cospergod (cospergod) 2017-05-13 11:10:00

感谢您的热心

作者: tzback (籽别颗) 2017-05-13 11:11:00

感谢大神更新后可以了 http://i.imgur.com/qwOXNSl.png

作者: slfantasy 2017-05-13 11:13:00

请问WIN10看更新纪录是要更新哪个才算安全~

作者: kaine130243 (冰狩) 2017-05-13 11:14:00

小弟的windows服务中。没看到smb欸。这是代表？

作者: kevin135k (ABJ MAN) 2017-05-13 11:16:00

感谢先处理起来避免万一

作者: Blueelephant 2017-05-13 11:19:00

请问W7 4月底有更新这样还需要更新吗?

作者: levihanji (团团) 2017-05-13 11:20:00

好奇问一下这病毒会影响家中wifi吗

作者: ariawind (亚里亚) 2017-05-13 11:21:00

开启错误，路径都英文 http://imgur.com/lWVC2nV

作者: tzback (籽别颗) 2017-05-13 11:22:00

#1P5UOwpc 7/8.1看更新代码有没有更新到

楼主: imasa (便当侠) 2017-05-13 11:24:00

ariawind请问你的作业系统版本是?

作者: megxz (黑色疾风) 2017-05-13 11:25:00

请问一下，执行完后 http://i.imgur.com/4oxz2aY.png

作者: ariawind (亚里亚) 2017-05-13 11:25:00

回imasa win7 我刚刚有把smb1设成数值0

作者: Autumn06513 (阿丸) 2017-05-13 11:30:00

跟楼上一样WIN7但执行档案会出现停止运作QQ

作者: megxz (黑色疾风) 2017-05-13 11:32:00

这样是有关掉吗？

作者: gemini2010 (gemini) 2017-05-13 11:32:00

请问 http://i.imgur.com/4oxz2aY.png 代表没有病毒潜服且有关掉SMBv1吗? 还是只代表有关掉SMBv1?

作者: eyeonme (看什么看) 2017-05-13 11:33:00

开启错误如图 http://imgur.com/a/ZF8Yx 请问怎么办?

作者: Adven (电风扇) 2017-05-13 11:34:00

@gemini2010,有readme.txt可以看喔

作者: lovejamwu (阿发我爱你!!!) 2017-05-13 11:37:00

我是win7完了我都没在更新....

作者: MiharuHubby (点兔喵PASS教掌门) 2017-05-13 11:37:00

我也是开启错误，路径都英文

作者: eyeonme (看什么看) 2017-05-13 11:38:00

自己回自己以解决我原本的使用者名称是中文后来新增一

作者: Shichimiya (便当) 2017-05-13 11:38:00

我也开启错误路径都英文

作者: ToujouAya (æ±åŸŽç¶¾ã®æ—¦é‚£) 2017-05-13 11:41:00

有没有人愿意教第一个连结下载后怎么使用QQ

作者: Shichimiya (便当) 2017-05-13 11:42:00

喔喔用楼楼上的方法成功了感谢

楼主: imasa (便当侠) 2017-05-13 11:43:00

原来是中文使用者，感谢补充

作者: ariawind (亚里亚) 2017-05-13 11:43:00

imasa 我使用者帐户改成英文也不能耶，要重开?

作者: Shadow5566 (小小书僮) 2017-05-13 11:43:00

请问一下，如果win7有更新，而且用i大的程式包扫过也

作者: laechan (挥泪斩马云) 2017-05-13 11:43:00

我xp,第二个连结下载后解压缩,资料夹名我直接改123,放到

作者: laechan (挥泪斩马云) 2017-05-13 11:44:00

C:\底下,再对执行档按右键选新增捷径,然后改捷径执行为C:\123\detect_doublepulsar_smb.exe --ip xxx.xxx.xxx.x这样直接点捷径就会执行了,刚扫描完 safe, 感谢原poXP使用者可以开防火墙,到[例外]那边,把vnc,远端相关的取消打勾,我的电脑按右键选内容,点[远端],那边也取消打勾

作者: zaq1qwer (王元姬大好>///<!) 2017-05-13 11:49:00

请问我已经中招了我进入安全模式把有wana的档案都删之后还是可以继续用这颗硬盘吗? (非系统碟) 谢谢回答~

作者: eelse (This is Sparta) 2017-05-13 11:51:00

感谢，测试完毕正常

作者: r1426000000 (Di) 2017-05-13 11:53:00

想请教大家，我已经新增了，但检测程式跑完没有出现关闭的字样

作者: geken (Goblin & Koblod) 2017-05-13 11:54:00

感谢

作者: r1426000000 (Di) 2017-05-13 11:54:00

我的路径也都是英文，到底是哪个环节出了问题呢

作者: laechan (挥泪斩马云) 2017-05-13 11:56:00

你系统是什么?

作者: r1426000000 (Di) 2017-05-13 11:56:00

Win7！

作者: laechan (挥泪斩马云) 2017-05-13 11:58:00

你这样就是扫完了吧,第二张图

楼主: imasa (便当侠) 2017-05-13 11:58:00

名字错了，是SMB1

作者: r1426000000 (Di) 2017-05-13 12:00:00

http://i.imgur.com/7n0LIQT.jpg已更正，重开机试试看

作者: minihyde (minihyde) 2017-05-13 12:00:00

在LanmanServer中的Parameters新增DWORD才能关闭

作者: r1426000000 (Di) 2017-05-13 12:01:00

好！！我终于找到问题了...谢谢各位感激不尽...

作者: UppityuniQue (一个抱枕抱了20年) 2017-05-13 12:02:00

我是Win7，按任意键继续后视窗就关掉了，请问是什么原因呢?

作者: r1426000000 (Di) 2017-05-13 12:05:00

谢谢大家，成功关掉了

作者: Leaves1014 (ㄜㄜ) 2017-05-13 12:12:00

SMB1 已设定但是用 netstat 依旧是 listening只要用程式扫 ok 就没关系吗？

作者: skvis (乳房观察家) 2017-05-13 12:18:00

按任意键本来就会关掉你要看上面那排英文写什么

作者: a47135 (金属史莱姆) 2017-05-13 12:19:00

请问讯息是No presence of DOUBLEPULSAR SMB implant代表就不会中这个勒索病毒了吗?

作者: skvis (乳房观察家) 2017-05-13 12:21:00

是显示尚未被攻击

作者: a47135 (金属史莱姆) 2017-05-13 12:22:00

因为本篇是说尚未被攻击或是已安装更新，好像没办法分出来到底是已经安装更新不怕惹还是还没被攻击

作者: joeylord (袋鼠王) 2017-05-13 12:23:00

windows 10不用测 https://goo.gl/uXs1AV

作者: bks9587 (None) 2017-05-13 12:24:00

请问我可以开启但按了任意键继续后就直接消失是什么问题?

作者: Leaves1014 (ㄜㄜ) 2017-05-13 12:25:00

表示程式已跑完要看“任意键继续”上一行英文内容

作者: a47135 (金属史莱姆) 2017-05-13 12:26:00

任意键继续就是表示跑完了阿....任意键按下去自然会关闭

楼主: imasa (便当侠) 2017-05-13 12:29:00

修正中文路径问题，应该可以用中文了，中文使用者再确认https://goo.gl/kfNh5a 下载连结短网址

作者: dd614 (dd614) 2017-05-13 12:29:00

win8跑一下就跳到掉正常吗?

作者: hsr7016 (~å¤©ç†å–µ~) 2017-05-13 12:30:00

http://i.imgur.com/HDLiOhB.png 全英文路径 WIN8.1一开启就当掉了

楼主: imasa (便当侠) 2017-05-13 12:31:00

楼上请下载新版本试试

作者: UppityuniQue (一个抱枕抱了20年) 2017-05-13 12:34:00

感谢a大回我，原来是我自己耍笨了...

作者: tab222777 (阿马^0^) 2017-05-13 12:35:00

所以XP显示refused SMBv1是代表还没被攻击和潜伏吗?

作者: hsr7016 (~å¤©ç†å–µ~) 2017-05-13 12:36:00

可以执行了但跳出closed SWBv1的提示的话要再重开在测?

作者: ggoutoutder (女朋友的左手) 2017-05-13 12:40:00

问一下我没办法更新怎么办他一直在检查更新

作者: yizhe (rouyy) 2017-05-13 12:40:00

没有"尚未被攻击或已装KB"提示，只有"SMB关闭"提示就好吗?

作者: cbstgb (你逆) 2017-05-13 12:43:00

感谢版大跟推文大大教学终于成功了

作者: log65320 (Logarithm) 2017-05-13 12:44:00

推

作者: ericthree (如果她这样动人) 2017-05-13 12:49:00

推推

作者: thbw666 (富和尚) 2017-05-13 12:50:00

感谢原po

作者: a410046 (a410046) 2017-05-13 12:52:00

太感谢了

作者: lovecoffee (力不从心) 2017-05-13 12:58:00

我是win8.1 也是一开马上跳掉我刚刚12点47分下载的QQ 路径全英文

楼主: imasa (便当侠) 2017-05-13 12:59:00

楼上你这个是其他问题我正在想办法解决

作者: argoth (炽眼) 2017-05-13 13:01:00

SHA1是不是有变动过了？

作者: a47135 (金属史莱姆) 2017-05-13 13:01:00

想请问一下原PO，尚未被攻击和已安装KB更新都是同样讯息还是说如果没装KB(漏洞还是存在)但是尚未被攻击的情况下会有其他讯息提示?

作者: ss910126 (LEE) 2017-05-13 13:03:00

请问，我只有显示NO PRESENCE那行并没有显示已经关闭SMBV1 我已经照原PO上一篇的方式操作过了

作者: Hajimi (逆向思考全垒打!!) 2017-05-13 13:04:00

感谢大神，推推！

作者: lovecoffee (力不从心) 2017-05-13 13:05:00

http://i.imgur.com/23PG4YL.jpg我趁他消失前截图下来请问这是哪边错误呢感谢我才看到原po回复，谢谢您，再麻烦了 QQ

作者: LT26i (图书馆) 2017-05-13 13:06:00

win7 应该成功关闭SMB1了 http://i.imgur.com/4IAlvS2.jpg感恩!!!

作者: ss910126 (LEE) 2017-05-13 13:07:00

我已经解决了，再次感谢原PO各位要注意把机码名称 SMB1

作者: milddawn (麦) 2017-05-13 13:08:00

http://i.imgur.com/LRcgIMi.jpg

作者: ss910126 (LEE) 2017-05-13 13:08:00

注意机码名称改成SMB1

作者: moneypack3 (钱包三号) 2017-05-13 13:08:00

解压缩档案大小不符耶，是我下载错了吗

作者: OOQ (..............) 2017-05-13 13:11:00

检测完成感谢

作者: zelkova (*〞︶〝*) 2017-05-13 13:12:00

请问安装windows更新之后还需要装这个吗?

楼主: imasa (便当侠) 2017-05-13 13:13:00

@milddawn 改了，请对照readme文件内的SHA1

作者: HowardxApple 2017-05-13 13:14:00

泪推你专业

作者: n12052233g (ceaseme这样 ) 2017-05-13 13:23:00

win8.1一开就自动关掉视窗怎么办呢

作者: milddawn (麦) 2017-05-13 13:31:00

谢!

作者: LightEcho (光音) 2017-05-13 13:31:00

不好意思请问一下这样SMB有关掉了吗？(win7)http://i.imgur.com/GoH9mCP.jpg

作者: luminous214 (bambi) 2017-05-13 13:35:00

可是我的vista一直无法更新，都停在0不会动 …只能这几天先别开机orz

楼主: imasa (便当侠) 2017-05-13 13:36:00

@LightEcho 对、改好记得重开机

作者: revolute ( somewhere ) 2017-05-13 13:44:00

推热血

作者: LightEcho (光音) 2017-05-13 13:48:00

那有不用连网就能检查电脑是否有病毒的办法吗？很害怕一连网就中标(已经更新到五月版本 5/12更新)不好意思麻烦您了

作者: newage5566 (56新世纪) 2017-05-13 13:50:00

中文名称版本可执行，检查已关闭SMB1，谢谢原PO

作者: chi12345678 (to Terabithia) 2017-05-13 13:57:00

已改QQ感谢

作者: GhriS (童贞肥宅) 2017-05-13 13:59:00

记得win10也有这漏洞但好像没更新也不会中?

作者: ashkaze (畏怕阳光) 2017-05-13 13:59:00

请问我是先手动关闭SMB再下载侦测程式检查，如果也是出现已关闭讯息代表目前机器无漏洞是不是?

作者: Yakiko (第三十五番号) 2017-05-13 14:09:00

感谢扫完显示已关闭SMBv1

作者: abram (科科) 2017-05-13 14:21:00

感谢把路由器445 port关闭确实就显示已经关闭SMB了

作者: lynked (左手不只是辅助而已) 2017-05-13 14:30:00

mega下载来的档案SH1跟原po提供的不符耶？？

作者: Dkky (太妍魂) 2017-05-13 14:32:00

File SHA1: 7D4F81F475A96BD28403F6F2E76C054DA62A1C3E

楼主: imasa (便当侠) 2017-05-13 14:34:00

抱歉是我文章没更新到你贴的这SHA1是正确的

作者: Dkky (太妍魂) 2017-05-13 14:35:00

readme档案里面写的

作者: powerg5 (mac) 2017-05-13 14:36:00

我从MEGA下载的档案其SHA1和dkky提供的不同http://i.imgur.com/VjshGmC.png压缩档的内容难道有再改动过吗?

作者: Dkky (太妍魂) 2017-05-13 14:40:00

解压缩后的exe档 SHA才是我贴的那一串

楼主: imasa (便当侠) 2017-05-13 14:42:00

@powerg5 你这是压缩档的SHA1，我写的是里面执行档的

作者: wsx26997785 2017-05-13 14:42:00

如果显示潜伏期该怎么解决?

作者: yao7174 (普通的变态) 2017-05-13 14:46:00

win8.1 下载显示11点半左右更新的还是会直接跳掉耶

作者: wade520 (wade) 2017-05-13 14:47:00

关掉SMB还需要更新吗??

作者: beckyH (becky) 2017-05-13 14:56:00

请问是先关掉SMB1然后下载侦测之后再更新吗？445port也要

作者: ariawind (亚里亚) 2017-05-13 14:56:00

感谢imasa大，新版已可以使用已关闭 SMBv1协定想问一下之后还需要打开他吗?

楼主: imasa (便当侠) 2017-05-13 15:02:00

@wade520 关掉SMBv1只是救急，还是请尽快更新@ariawind 不用开了那是老旧的东西

作者: aaa89025 2017-05-13 15:05:00

问一下蠢问题，关闭SMB后中华电信的小乌龟wifi会受到影响吗.谢谢

作者: andy0526 (唉) 2017-05-13 15:07:00

显示 No presence of DOUBLEPULSAR SMB implant就OK了?不懂SMBv1协定?

作者: Phaeton (凰呀的鸣叫~) 2017-05-13 15:14:00

谢谢imasa，但是想请问现在win7 执行是关掉SMBv1而已，这样就可以? win10的两台电脑是都正常更新就说不用检查非常谢谢原po教学

作者: wade520 (wade) 2017-05-13 15:17:00

感谢imasa解答

作者: rininan (葱爆鸡柳斩) 2017-05-13 15:18:00

很久没用电脑了躲过一劫，感谢原po教学

作者: Duncan0722 2017-05-13 15:23:00

不好意思想请问一下楼主，如果我中毒前有将部分档案放入手机里面，之后我电脑重灌win10，手机再插入电脑后，电脑还有可能因为手机里面以前的档案而再次中毒吗，手机里面的档案也会被影响到吗，谢谢您

作者: miaomiao35 (整个星群无人不病) 2017-05-13 15:28:00

感谢大神相助大神一生平安!

作者: confri427 (辅导) 2017-05-13 15:30:00

照原PO的方法关SMB 但是侦测程式还是跳尚未被攻击那行?

作者: semih (Sayginer) 2017-05-13 15:32:00

请问xp已关掉SMBv1和已下载更新KB4012598 侦测出来只显示关SMBv1 但没显示No presence of DOUBLEPULSAR SMB implant请问这是哪边没注意到 ?

作者: miaomiao35 (整个星群无人不病) 2017-05-13 15:35:00

显示关掉SMB1就是安全了吧?

作者: horseorange (橘小马) 2017-05-13 15:40:00

推

作者: icemc (ice) 2017-05-13 15:50:00

semih 我跟你一样没显示那行不过上网站测已经安全了

作者: Usecase (Use Case) 2017-05-13 15:56:00

请问如果是windows server 2012 r2，有办法执行这支检测程式吗？谢谢

作者: willix83 (willix) 2017-05-13 15:58:00

载点挂了!?

作者: link5566 (连结56 连接你我) 2017-05-13 16:01:00

载点挂了有人能补吗?

作者: Wall62 2017-05-13 16:01:00

icemc大请问你是上什么网站测的

楼主: imasa (便当侠) 2017-05-13 16:14:00

我刚才在更新程式，不好意思马上补载点

作者: idfpigeon (Dirk41) 2017-05-13 16:18:00

他跑完会自己关掉欸还来不及看到讯息QQ

楼主: imasa (便当侠) 2017-05-13 16:20:00

请问楼上的windows版本是?

作者: icemc (ice) 2017-05-13 16:21:00

20593那篇里提到的 https://doublepulsar.below0day.com/

作者: hornybaron (好色巴龙) 2017-05-13 16:21:00

推一个正在做预防工作非常谢谢你分享的内容

作者: ABC0000 ( AAA ) 2017-05-13 16:22:00

我的win7 跑完也会直接关掉

作者: lovelylion2 (麻署鼠) 2017-05-13 16:23:00

http://i.imgur.com/MMfxT0A.png TypeError

作者: n12052233g (ceaseme这样 ) 2017-05-13 16:23:00

I大我的也会我开起来后视窗自动关掉我是win8.1

作者: Sallina (琉璃子 ) 2017-05-13 16:23:00

我的win7跑完也是很快关掉

作者: infi23 (流浪) 2017-05-13 16:24:00

我也被关掉了QQ

作者: gary78123 (好人) 2017-05-13 16:25:00

Win7跑完会自己关掉

作者: hornybaron (好色巴龙) 2017-05-13 16:26:00

刚刚抓完 Win7 跟楼上一样跑完直接关掉来不及看QQ

作者: jedisteven (低调的低调) 2017-05-13 16:27:00

我的win7跑完也是很快关掉看不到讯息QQ

作者: JieshinRS (油水夫夫住我家楼上) 2017-05-13 16:27:00

http://i.imgur.com/fGkRro6.jpg这样是什么意思QAQ

作者: Livia222 ( ) 2017-05-13 16:28:00

也是来不及看到讯息，就自动关闭了。

作者: warrigal (ALPHA) 2017-05-13 16:28:00

推热心的高手请问假如后来才把smb关掉可是之前就中毒会显示什么呢

作者: idfpigeon (Dirk41) 2017-05-13 16:30:00

我的是win 7 旗舰山寨板

作者: roveralex (菜饼) 2017-05-13 16:30:00

感谢分享

楼主: imasa (便当侠) 2017-05-13 16:31:00

@JieshinRS 那是debug用的讯息可以不管他

作者: Wall62 2017-05-13 16:31:00

iceme大感谢

作者: JieshinRS (油水夫夫住我家楼上) 2017-05-13 16:32:00

所以这样是有关掉ok的吗还是有中毒……不好意思我是电脑白痴QAQ

作者: lkj12tw 2017-05-13 16:32:00

win7跑完自己关掉+1

作者: noise5566 (噪声56) 2017-05-13 16:33:00

感谢你

作者: sid19881025 (小龟) 2017-05-13 16:34:00

感谢大大..真的感谢大大

作者: iamdavidga (虾猫) 2017-05-13 16:42:00

http://imgur.com/pizBJ0g

作者: ESC5566 (退出五六) 2017-05-13 16:42:00

有用有推!!

作者: Sallina (琉璃子 ) 2017-05-13 16:44:00

请问能放回前面那一版的测试程式吗?这一版的跑完会跳掉

作者: catchco 2017-05-13 16:45:00

win7 跳掉+1

作者: peter840606 (Balalaika) 2017-05-13 16:48:00

请问跳出This machine has already close SMBv1....是只代表关闭了协议还是同时代表关闭协议和没中毒

作者: Backmann (Backmann) 2017-05-13 16:50:00

http://i.imgur.com/Jw3IsxQ.jpgTypeError是指＞＜？

作者: vester ( ) 2017-05-13 16:53:00

一直更新失败，何解?

作者: alyh (矮栗盒) 2017-05-13 16:54:00

有做更新跑程式有显示找到最新的KB更新但跟上面一些板友贴的图一样下面显示TypeError 然后跑完秒关 >"<

楼主: imasa (便当侠) 2017-05-13 16:57:00

TypeError应该已经修复了，请重新下载新版

作者: c309023 (Esther) 2017-05-13 16:57:00

谢谢大大，可以安心了

作者: olelehas (ytw) 2017-05-13 16:58:00

谢谢原PO，辛苦了

作者: peter840606 (Balalaika) 2017-05-13 16:58:00

@imasa 那请问跳出已经关闭协议也同时代表没中毒吗?

作者: alyh (矮栗盒) 2017-05-13 17:02:00

谢谢原PO 辛苦你了检查完毕没有问题~

作者: mapledog (LD) 2017-05-13 17:04:00

感谢I大新版成功跑完未检测出真的辛苦你了!!

作者: Backmann (Backmann) 2017-05-13 17:08:00

感谢i大！新版显示SMB1已关闭！太开心了！

作者: iamdavidga (虾猫) 2017-05-13 17:10:00

感谢I大真心感谢您 QQ

作者: maydayue (清枫翔羽) 2017-05-13 17:16:00

谢谢i大，不过我跑出来只显示SMBv1已关和找到KB4019264没有显示有没有被攻击

作者: omanorboyo (omanorboyo) 2017-05-13 17:18:00

win7点完就跳掉怎办?

作者: alyh (矮栗盒) 2017-05-13 17:19:00

楼上是载到旧版吗? 刚刚更新过的版本应该不会跳掉了 @@

作者: pths313 (萌夯猎人) 2017-05-13 17:20:00

用了104版还是会跳掉呢

作者: happysunny 2017-05-13 17:23:00

请问关闭这个会影响到什么功能呢？想知道自己平常会不会用到

作者: omanorboyo (omanorboyo) 2017-05-13 17:29:00

有了104版本可行感谢大大

作者: iSad56 (窝南果) 2017-05-13 17:31:00

求救 win7点完就跳掉https://goo.gl/cukAcj (影片)

作者: tsaumond (孟德) 2017-05-13 17:31:00

请问一下有显示KB4xxxxxx found是否就是代表漏洞已补好?

作者: ERQQ (EQQR) 2017-05-13 17:31:00

win7跳掉 +1

楼主: imasa (便当侠) 2017-05-13 17:35:00

你们请先下载新版试试看，看影片你像是用旧版本的@happysunny 关闭SMBv1 windows应该会去用SMBv2

作者: Adven (电风扇) 2017-05-13 17:37:00

感谢更新版本

作者: catchco 2017-05-13 17:39:00

请问跑完是显示already"refused" SMBv1...是一样的意思吗

作者: SeTeVen 2017-05-13 17:40:00

请问win8怎么办QQ

作者: higuma47 (熊) 2017-05-13 17:44:00

请问win7执行后跳出UnicodeEncodeError怎么办QQ，有确定是用104版本，档案路径也确定只有英文…这是错误讯息的截图 http://i.imgur.com/3UxJlZa.jpg

作者: lovecoffee (力不从心) 2017-05-13 17:46:00

请问更新版本是？我今天12点47分下载的一样是开了马上跳掉@@

作者: SpaghettI101 (瞧到床头自然直) 2017-05-13 17:48:00

请问一下win7用104版一样闪退，附上闪退瞬间截图：http://i.imgur.com/fR09RCl.jpg

作者: alyh (矮栗盒) 2017-05-13 17:49:00

@love 刚刚下午16:56有最新版本更新喔重载看看吧

作者: lovecoffee (力不从心) 2017-05-13 17:51:00

好的感谢您

作者: pths313 (萌夯猎人) 2017-05-13 17:56:00

跟SpaghettI101很类似的情况闪退~win7是32位元的阿~跟higuma47的相同才是~完全一样的内容

作者: iSad56 (窝南果) 2017-05-13 17:58:00

https://goo.gl/UOBMON (104版任意键后跳出)[WIN7]再拜托大大

作者: alyh (矮栗盒) 2017-05-13 18:04:00

楼上你的影片就不能放个安全点的地方像是YOUTUBE吗? =_=

作者: OSAME (平凡男) 2017-05-13 18:04:00

I大新版1.04反而XP 32位元会错误原本1.01正常

作者: jerrywalker (walker) 2017-05-13 18:09:00

请问更新完还要打开SMBv1吗? 已确定关掉和安装更新了

作者: acro72 (let me think about it) 2017-05-13 18:11:00

XP执行出现AttributError的讯息 http://imgur.com/a/3XEb2

作者: iSad56 (窝南果) 2017-05-13 18:14:00

https://youtu.be/KEbEYMbEgug 抱歉重传了(104版任意键后跳出)[WIN7] (youtube重传)

作者: OSAME (平凡男) 2017-05-13 18:15:00

XP我用101版没问题我刚刚刻意试两个版本

楼主: imasa (便当侠) 2017-05-13 18:18:00

@iSad56 这样的运作方式是正常的我没看到什么错误?@OSAME 因为101还不会扫描XP的KB

作者: lovecoffee (力不从心) 2017-05-13 18:23:00

有成功了再下载一次就可以了！感谢

楼主: imasa (便当侠) 2017-05-13 18:23:00

已更新1.05连结、发生问题的人请下载新版试试看

作者: lovecoffee (力不从心) 2017-05-13 18:24:00

以前我也是都不安装更新的，最近两年买新电脑才开始让它更新，只要是重要更新，更下去就是了QQ

作者: iSad56 (窝南果) 2017-05-13 18:26:00

但是我没有看到No presence of DOUBLEPULSAR SMB implant

作者: zxcv820421 (常磐くるみ的老公) 2017-05-13 18:26:00

问一下点大大提供的打包程式直接是显示说This machine has already closed SMBv1 protocol这样是成功了吗?

作者: jpfly (暱称j:p 小写、冒号) 2017-05-13 18:26:00

请问1.05版是否可以增加mega以外的载点？>人<

作者: flywan (福来旺) 2017-05-13 18:29:00

刚下载新版跑完立刻消失 http://imgur.com/a/0yl4W这样是ok吗?

作者: wunno (偏逢连夜雨) 2017-05-13 18:30:00

请问若侦测被攻击成功但似乎还没有档案被加密(?) 那这时

作者: lovecoffee (力不从心) 2017-05-13 18:30:00

我成功的是104版本

作者: wunno (偏逢连夜雨) 2017-05-13 18:31:00

才开始关SMB1 安装更新档来的及吗? 或是直接重灌了? 谢谢

作者: duringtime (扑扑) 2017-05-13 18:34:00

1.05 XP检测成功....1.04 扫KB会闪退

楼主: imasa (便当侠) 2017-05-13 18:38:00

@flywan 有1.05了喔，请改用1.05试试看备用载点https://www.mediafire.com/?kiocmycua82heng

作者: DaringDo (天马无畏) 2017-05-13 18:40:00

XP要怎么执行?@@

作者: ShiinaMayuri (嘟嘟噜) 2017-05-13 18:41:00

请问先关SMBv1 再做侦测这顺序对吗???

楼主: imasa (便当侠) 2017-05-13 18:43:00

可以@DaringDo 要打开命令列，开始->执行->输入cmd

作者: acro72 (let me think about it) 2017-05-13 18:44:00

感谢~新版的在xp可以正常检测了~

作者: kaorucyc (Yang) 2017-05-13 18:45:00

1.05执行成功

作者: DaringDo (天马无畏) 2017-05-13 18:46:00

喔喔我抓的是1.04

作者: aa82732664 2017-05-13 18:46:00

如果用大大的程式没被攻击会显示什么出来呢

作者: iSad56 (窝南果) 2017-05-13 18:47:00

105版跟104版状况一样任意键后跳出没看到结果 [win7]再麻烦大大帮忙

作者: DaringDo (天马无畏) 2017-05-13 18:52:00

喔我会了.. 感谢回答@@

作者: qwertasdfgh (希万法藏) 2017-05-13 18:52:00

执行前请确认档案有无被偷改过，请问要怎么确认呀?

楼主: imasa (便当侠) 2017-05-13 18:52:00

@iSad56 从你的影片来看你的SMBv1已经关掉了

作者: flywan (福来旺) 2017-05-13 18:53:00

1.05版跟zxcv82大的状况一样不过目前没看到档案加密幸好5月初有跑安全性更好

作者: ez2dancer (有股浓浓的恨意………) 2017-05-13 19:02:00

推，想请问如果Win7已经安装过微软修补档，还需要再防火墙关闭Port445吗？那SMBv1服务呢？

作者: noitcidda (西打) 2017-05-13 19:04:00

1.05成功感谢大大

作者: ShiinaMayuri (嘟嘟噜) 2017-05-13 19:05:00

http://i.imgur.com/NfqDBFc.jpg 这样是safe?

楼主: imasa (便当侠) 2017-05-13 19:06:00

暂时safe, 请尽快安装更新

作者: qwertasdfgh (希万法藏) 2017-05-13 19:08:00

http://imgur.com/a/2SRnf请问I大，看我的状况应该是没问题，可是怎么还有安装还有安装MS17-010，请问这样是安全的吗?

作者: schiffer (Schiffer) 2017-05-13 19:10:00

推推！

作者: sx366 (è–„è·) 2017-05-13 19:16:00

感激不尽

作者: alyh (矮栗盒) 2017-05-13 19:19:00

@qwert 那是说你的电脑已经有把这个漏洞补起来了

作者: qwertasdfgh (希万法藏) 2017-05-13 19:22:00

原来如此，谢谢A大说明

作者: rean5566 (路上突然好饿) 2017-05-13 19:22:00

http://imgur.com/a/Fe8uk 这样应该就是好的吧0.0

作者: cy4750 (CY) 2017-05-13 19:24:00

http://i.imgur.com/D0tExJS.jpg 请问XP出现这个如何解决?

作者: zxcv820421 (常磐くるみ的老公) 2017-05-13 19:25:00

我是成功了可是电脑下载更新包说不适用更新...

楼主: imasa (便当侠) 2017-05-13 19:26:00

@cy4750 打开命令列，开始->执行->输入cmd然后输入提示指令@qwertasdfgh 提示你已经有安装了这是安全的

作者: cccmar (轰!!) 2017-05-13 19:28:00

推推，感谢大大协助!!! 希望大家电脑资料都安全~

楼主: imasa (便当侠) 2017-05-13 19:28:00

@ez2dancer SMBv1已经过时可以不需要了现在都v2以上

作者: lovecoffee (力不从心) 2017-05-13 19:30:00

http://i.imgur.com/GBbjj0p.jpg出现这样但是没有显示 has already installed ms17-010这样也是ok的吗？

楼主: imasa (便当侠) 2017-05-13 19:34:00

@lovecoffee 少加个判断而已我1.05已经加了

作者: cy4750 (CY) 2017-05-13 19:35:00

我输入那串+ip之后显示"不是内部或外部命令可执行的程式

作者: victoryss (☞ ☑中间选民 ☑爱歹玩) 2017-05-13 19:35:00

thanks 没更新但是检查安全呼呼我可爱ㄉA片

作者: lovecoffee (力不从心) 2017-05-13 19:35:00

OK 好的非常感谢您！！

作者: qwertasdfgh (希万法藏) 2017-05-13 19:38:00

十分谢谢I大

楼主: imasa (便当侠) 2017-05-13 19:42:00

@cy4750 你应该是执行错指令了、上个图看看你输入什么吧

作者: cy4750 (CY) 2017-05-13 19:44:00

detect_doublepulsar_smb.exe --IP 这样??

楼主: imasa (便当侠) 2017-05-13 19:45:00

你还要找出你的IP，可以输入ipconfig去找

作者: lovecoffee (力不从心) 2017-05-13 19:46:00

这系列文很棒，有没有版友做个总整理！？非常感谢i大及p大以及推文中热心的版友:)

作者: cy4750 (CY) 2017-05-13 19:46:00

有我有找到IP了我输入的就是这串后面是我查到的IP这样

楼主: imasa (便当侠) 2017-05-13 19:48:00

那你大概是目录错了...要到执行档的目录去执行喔

作者: hl571536xz (素晴らしい世界) 2017-05-13 19:48:00

http://i.imgur.com/xLjK9yr.png我已经装了更新档，但仍显示未安装，这样会有问题吗?

楼主: imasa (便当侠) 2017-05-13 19:50:00

@hl571536xz有可能是安装时写key的路径我没扫描到如果可以的话输入regedit->按F3->输入KBID 看看他出现在哪

作者: min0502 (Rosalia) 2017-05-13 19:52:00

ＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＡＨＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪ　　　　

作者: cy4750 (CY) 2017-05-13 19:56:00

http://i.imgur.com/i9NCdcs.jpg 换路径之后显示这样请问这样代表???谢谢回应XP已经有装那个更新档了但是没有关SMB 想先测看看请问装完更新之后还要去关SMB吗

作者: hl571536xz (素晴らしい世界) 2017-05-13 19:58:00

http://i.imgur.com/gtZPdXx.png 是像这样吗?

作者: looscfor (looscfor) 2017-05-13 19:59:00

请问显示目前未被攻击，但侦测程式说我未安装更新，可是我看控制台更新记录已经安装完成了，这样该怎么处理呢？谢谢

作者: min0502 (Rosalia) 2017-05-13 20:01:00

i大不好意思刚刚确认电脑没事后就开着电脑放著睡着了基于果

作者: cmid05 (酷拉皮卡) 2017-05-13 20:03:00

推

楼主: imasa (便当侠) 2017-05-13 20:04:00

@hl571536xz 是的，能麻烦你把所有有关的路径都找给我吗?

作者: min0502 (Rosalia) 2017-05-13 20:06:00

小猫乱踩误发推文真的很不好意思

作者: ShiinaMayuri (嘟嘟噜) 2017-05-13 20:10:00

XD 猫图ㄋ?

作者: hl571536xz (素晴らしい世界) 2017-05-13 20:16:00

有办法将相关路径一次汇出吗?这路径还挺多的XD

楼主: imasa (便当侠) 2017-05-13 20:19:00

可能没办法你找HKLKM和CUEERNT_USER底下的路径给我就好

作者: zero75559851 (赤剑零) 2017-05-13 20:21:00

推

作者: mkflyk23 (フライケー) 2017-05-13 20:26:00

XP可试试上面laechan大推文的方法：执行档右键>建立捷径捷径右键>内容，目标>后面加上 --ip xxx.xxx.xxx.xhttp://i.imgur.com/KgMuHxw.jpg完成后确定，再去点该捷径就可执行http://i.imgur.com/BJRakVY.jpg

作者: hl571536xz (素晴らしい世界) 2017-05-13 20:28:00

我弄成txt丢到google云端了，看看是不是你需要的https://goo.gl/ijI4f1

作者: popeks1331 (真爱难觅吻仔鱼) 2017-05-13 20:37:00

推XP使用方法!! 成功确认没问题!感恩

作者: lolicone (∥○△○∥) 2017-05-13 20:38:00

谢谢执行中

作者: cy4750 (CY) 2017-05-13 20:39:00

mkflyk23: 他不让我加那串http://i.imgur.com/qQncRYR.jpg

作者: semih (Sayginer) 2017-05-13 20:39:00

感谢但xp我用捷径的方式会闪退只好打cmd手动输入ip就ok了楼上 detect_doublepulsar_smb.exe --ip 很像空一格才行

作者: mkflyk23 (フライケー) 2017-05-13 20:47:00

--ip 前后都要空一格

作者: bill0205 (善良的小孩没人爱) 2017-05-13 20:47:00

我显示这样..http://i.imgur.com/fLWMAbc.jpg第二行是?

作者: lovecoffee (力不从心) 2017-05-13 20:50:00

楼上这样就是ok没问题囉

作者: bill0205 (善良的小孩没人爱) 2017-05-13 20:51:00

感谢

作者: akiraonlyone (ギンカ＊チームkazu) 2017-05-13 20:53:00

感谢i大，顺利跑完程式确认没问题了

作者: lovecoffee (力不从心) 2017-05-13 20:56:00

但都是暂时挡下这一波QQ 还是得乖乖更新系统

作者: arichage (台湾区南内推广会长) 2017-05-13 20:58:00

有用有推！感谢提供！！

作者: fayered (yvonne) 2017-05-13 21:03:00

http://i.imgur.com/A7HtjZz.jpg请问如果我显示这样是安全的吗

作者: lovecoffee (力不从心) 2017-05-13 21:05:00

大大你的跟bill大是一样的

作者: saiulbb (Becky♪＃是我的拉!) 2017-05-13 21:07:00

谢谢分享上了一课

作者: salang (学习释然) 2017-05-13 21:07:00

我是无法下载改写后的版本他说ERRRO... 请问如何处理QQ我的是WIN7

作者: fayered (yvonne) 2017-05-13 21:08:00

可是我的没显示No presence of DOUBLEPULSAR SMBimplant超抖的

作者: lovecoffee (力不从心) 2017-05-13 21:16:00

因为你先关了smb才跑程式对吗我关之前跑过一次，也是这样结果哦

作者: CuteGG (GG) 2017-05-13 21:17:00

请问下载完，点程式两下，等他跑讯息跑出No presence of DOUBLEPULSAR SMB implant

作者: PTTakatsuki (akatsuki) 2017-05-13 21:19:00

请问imasa大，系统win8测试之后是如下的画面

作者: CuteGG (GG) 2017-05-13 21:19:00

讯息里面有看到这段字就是目前安全吗

作者: fayered (yvonne) 2017-05-13 21:22:00

所以我要打开再跑吗

作者: chired (chired) 2017-05-13 21:24:00

想请问一下如果已经离线更新登录档SMB1(0)要删掉吗?

作者: PTTakatsuki (akatsuki) 2017-05-13 21:24:00

重新放图，imasa大能帮忙删除上一段imgur推文吗？http://imgur.com/G4wh02S

作者: lovecoffee (力不从心) 2017-05-13 21:30:00

f大，应该不用已经显示KB4012216 found 洞已经被堵住，请问imasa大，是这样对吗？

作者: ricky88052 (William) 2017-05-13 21:31:00

感谢大神

作者: kay00503 (微笑) 2017-05-13 21:31:00

请问也有人装了KB4019264 但是侦测说没装的吗

作者: lgng66133 (Mad Fer It！) 2017-05-13 21:35:00

no没有显示No presence of DOUBLEPULSAR SMBimplant的话是要再把smb开起来跑一次程式吗

作者: hoij79627 (诚征回收业者) 2017-05-13 21:43:00

感谢

作者: kay00503 (微笑) 2017-05-13 21:45:00

http://imgur.com/RzpkPaC

作者: snosaes5566 2017-05-13 21:46:00

搞定惹!感谢imasa大大

作者: juunuon (NANACON) 2017-05-13 21:52:00

win7 旗舰64用1.05闪退 http://ingur.com/aWRprAQ.png http://imgur.com/aWRprAQ.png

作者: PTTakatsuki (akatsuki) 2017-05-13 21:25:00

http://imgur.com/G4wh02S

楼主: imasa (便当侠) 2017-05-13 22:21:00

KB4019264的安装方式用的是CPS安装这条路我没有侦测到晚点补上

作者: LightEcho (光音) 2017-05-13 22:23:00

推谢谢这篇的帮助虽然我还是不敢连线来侦测潜伏病毒

作者: SnowTrance (若明) 2017-05-13 22:31:00

your system is already installed MS17-010 什么意思

作者: CuteGG (GG) 2017-05-13 22:32:00

用那个检查程式要连网络吗？

作者: sl910654 2017-05-13 22:45:00

真的是一边流泪一边推太感谢

作者: LightEcho (光音) 2017-05-13 22:46:00

不是要先下载下来吗？

作者: skts 2017-05-13 23:26:00

两个档案均被修改过，请作者重新确认，谢谢(File SHA1不符)

作者: koheik2 (ko) 2017-05-13 23:29:00

闪一秒就关了win7啥都没显示???

作者: werlight (Light) 2017-05-13 23:35:00

http://i.imgur.com/PBRKVY3.jpg有安装更新但好像无法执行侦测

作者: zincs (白毫乌龙茶) 2017-05-13 23:36:00

感谢!!!

作者: kitoik5427 (kitoik5427) 2017-05-14 00:18:00

感谢!! 幸好自己还没中标但一直没办法成功更新.....

作者: s60609s (猪猪羊) 2017-05-14 00:22:00

请问各位我从去年三月中后更新都失败刚手动载了4019264也成功安装了4019264 但前面更新还是失败这样安全吗?

作者: lolicone (∥○△○∥) 2017-05-14 00:28:00

这样有装成功只要有其中一个就行了

作者: s60609s (猪猪羊) 2017-05-14 00:29:00

感谢

作者: heycircle (几何男孩) 2017-05-14 00:39:00

必须推

作者: XDylan (初心者) 2017-05-14 00:44:00

感谢

作者: wayhowhown (Lycoptera) 2017-05-14 00:48:00

真心感谢大大

作者: kitoik5427 (kitoik5427) 2017-05-14 00:59:00

不好意思请教一下刚刚成功启动后关闭想要放到其他资料夹里却跳出无法完成动作资料夹里的档案已在其他程式开启 ???但我明明确认资料夹和执行档都关闭了阿

作者: evanabc 2017-05-14 01:03:00

test

作者: kitoik5427 (kitoik5427) 2017-05-14 01:03:00

难道是程式只是画面关闭其实还在执行吗请问有什么办法可以检查吗

作者: hotisaac 2017-05-14 01:03:00

请问显示这样http://i.imgur.com/A7HtjZz.jpg是安全的?先谢谢，小弟是电脑白痴请有经验的帮解答

作者: Ladizman (Ladizman) 2017-05-14 01:07:00

是的

作者: hotisaac 2017-05-14 01:27:00

谢谢楼上也谢谢原po

作者: LightEcho (光音) 2017-05-14 01:28:00

1.05版本也能一并检查是否被病毒入侵潜伏吗？先谢谢大大了

作者: azuresmile (有点) 2017-05-14 01:55:00

请问SHA1要从哪里看呢?

作者: mjmj0316 (不说把我当神) 2017-05-14 01:59:00

我刚刚看了一下大小好像不太对?

作者: crazycy (LCY) 2017-05-14 02:01:00

不考虑开个源吗XD 直接丢exe有些人会怕吧

楼主: imasa (便当侠) 2017-05-14 02:05:00

大小请看实际大小不是磁盘大小喔

作者: stacy62123 (GAP) 2017-05-14 02:28:00

http://i.imgur.com/HusC6Ia.jpg 不好意思，win8出现这个后闪退，请问有什么方法吗QAQ?感恩原po

作者: mjmj0316 (不说把我当神) 2017-05-14 02:28:00

感谢大大回复。已检测完成真心感谢

楼主: imasa (便当侠) 2017-05-14 03:04:00

1.06放上去了，执行上有问题的人可以下载看看问题解决了没

作者: nanht (顺其自然) 2017-05-14 03:05:00

谢谢i大的热心，感激不尽!

作者: taihsin ( ) 2017-05-14 03:08:00

谢谢大大已关闭已检测

作者: maxipin (maxipin) 2017-05-14 04:19:00

http://imgur.com/a/3KOCi V-1.06,为何有EXCEPTION啊? @@另外,英文内文只有说，我有阻挡了SMVB1也有更新了但是没有说明最重要的DOUBLEPULSAR SMB implant啊? Orz

作者: yamasaki07 (YANASAKI) 2017-05-14 07:40:00

计算出来的SHA1跟文章里的不一样，是档案被修改吗

作者: as55721 (小朋友) 2017-05-14 08:14:00

http://i.imgur.com/QbFDJdR.jpg 请问我显示的是这样，我看不太懂，可以帮我解释吗？先谢谢帮忙解释的那位

作者: ying8375 2017-05-14 08:59:00

求救...Win7开起来跑个2秒视窗就不见了什么都没看到

楼主: imasa (便当侠) 2017-05-14 10:52:00

@maxipin 如果程式送的SMB requert被你的电脑挡下来就有可能不会秀出来那是正常的另外Exception是程式在搜寻registry时搜到他无法判读的字符

作者: c93cj3 ( ) 2017-05-14 10:53:00

@as55721 它叫你去装KB4019264这个更新你确认一下装了没

楼主: imasa (便当侠) 2017-05-14 10:54:00

这部分跟我们寻找MS17-010 KB是无关的所以只先秀讯息出来

作者: c93cj3 ( ) 2017-05-14 10:54:00

@as55721 然后你扫描的结果当下是安全的

楼主: imasa (便当侠) 2017-05-14 10:55:00

ying8375 你能用命令列执行看看吗? 还有请确认是1.06版

作者: xliu (假虾) 2017-05-14 11:19:00

如果侦测中了请问要怎么处理？

作者: parkyu531 (鲸鱼) 2017-05-14 11:30:00

win10强制更新才是先知

作者: wsx26997785 2017-05-14 11:30:00

http://0rz.tw/yWpvg 侦测了请问我有中标吗?我没看到 No presence of DOUBLEPULSAR SMB implant

作者: maynightdado (ã¦ã¸ãºã‚(ãƒ»Ï‰<)) 2017-05-14 11:35:00

关掉SMB1之后下去测显示已经关闭那测的到关闭之前有没有中吗?还是已经中了也会显示出来@@?

作者: lylia0338 (ppp) 2017-05-14 11:37:00

我的状况跟楼上一样也是没看到No presence of DOUBLEPULSAR SMB implant

作者: yaowei2010 (yaowei) 2017-05-14 12:04:00

我跟wsx大一样感觉是没问题

作者: brain1472000 (Danny Wei) 2017-05-14 12:06:00

这个病毒跟WW3会有关系吗？

作者: juchmm (我不知道) 2017-05-14 12:28:00

SHA1要怎么看

作者: LightEcho (光音) 2017-05-14 12:55:00

有指定或建议的解压缩方式吗再次感谢大大

作者: dknas55 (Ans) 2017-05-14 13:09:00

http://imgur.com/a/ln3zB请问出现这种状况,是哪个环节错了呢?

作者: concertotc (v(￣︶￣)y花甜甜) 2017-05-14 14:06:00

同wsx26997785一样是？

作者: winddriver (我要小萝莉学妹！) 2017-05-14 15:27:00

我的状况也和wsx26997785一样已经关掉SMB也已经更新

作者: cockroach00 (蟑螂) 2017-05-14 15:30:00

谢谢大大

作者: drwolf (drwolf) 2017-05-14 15:50:00

我的电脑也跟wsx大一样!! 这样是没问题巴?!

作者: kenji1111 (肯吉) 2017-05-14 15:54:00

状况同wsx 这样是安全的吗?

作者: diabetes (若即若离) 2017-05-14 15:55:00

谢谢i大以及推文的各位，顺利检查更新了win7跟xp

楼主: imasa (便当侠) 2017-05-14 15:56:00

和wsx26997785显示一样的人就是有安装KB了这样就没问题了

作者: winddriver (我要小萝莉学妹！) 2017-05-14 16:00:00

抱歉请问一下如果有装好KB 是不是就代表病毒不会进来

作者: a5413eric (a5413eric) 2017-05-14 16:01:00

请问我显示kb4019264找到却没显示安装MS17010是怎么回

作者: winddriver (我要小萝莉学妹！) 2017-05-14 16:01:00

那如果已经有病毒在电脑里还是顺利装了KB 这种情况有可能发生吗?

作者: rockho 2017-05-14 16:35:00

和wsx显示一样但我已安装的list中却找不到KB0419264...

作者: KKKBRENDA (BRENDA) 2017-05-14 17:29:00

感谢原po的提供和解答，也是出现跟wsx26997785的一样终于更新好了

作者: WhiteMouse (白白白) 2017-05-14 18:54:00

想问一下关掉这服务会影响到什么相关软件的使用吗？

作者: sa12e3 2017-05-14 19:47:00

https://www.youtube.com/watch?v=uVLDIynuaL4

作者: fkcsunshine (苹草) 2017-05-14 20:01:00

我的显示‘your windows is 10 or 2016, don't needto check EtneralBlue ’请问这样是正常的吗? 侦测前已经关掉网络芳邻了

作者: ica72 (随遇~) 2017-05-14 20:22:00

下载解压缩后 avast显示有问题已封锁+删除请问我的avast太敏感吗?

作者: kirax20a (キラ) 2017-05-14 20:55:00

请问这样是有中还没中？还是说要先把SMB 1打开再跑一次检测程式？http://i.imgur.com/iKTPcYL.jpg

作者: winddriver (我要小萝莉学妹！) 2017-05-14 21:07:00

抱歉问一下 win7如果已经关掉SMB 还要再关445port吗如果要关445 port要怎么关? 谢谢

作者: LIEBHERR (LIEBHERR) 2017-05-14 21:08:00

同ica大 avast不给开在更新完64包之后就不给试了

作者: kirax20a (キラ) 2017-05-14 21:10:00

我的AVAST也是会跳警告然后隔离但我还是把它拉出来设排除

作者: ica72 (随遇~) 2017-05-14 21:11:00

是有看到前面有讨论说 avast最近很挡.exe档不晓得是不是这avast怪怪重新压缩又没事了变成我跟kirax大一样

作者: light531 ((‧(工)‧)/ ) 2017-05-14 21:27:00

我也跟kr大的图一样耶这样算OK吗

作者: nicolas0608 (贾瑞) 2017-05-14 21:37:00

er:10057 不允许传送或接收资料的要求因通讯端并未

作者: kirax20a (キラ) 2017-05-14 21:37:00

那图显示的也只是说你有把洞补起来然后就没其他资讯了自己有另外用线上检测的网站跑过结果是说OK 但因为我是吃手机网络的分享讯号也不知道那IP到底是手机的还是电脑的...

作者: nicolas0608 (贾瑞) 2017-05-14 21:39:00

连线而且在资料包通讯端使用sendto呼叫进行传送时

作者: ica72 (随遇~) 2017-05-14 21:40:00

我电脑是刚好w2重灌+更新档也更新完

作者: nicolas0608 (贾瑞) 2017-05-14 21:40:00

并未提供地址 (kb4012598 found)

作者: ica72 (随遇~) 2017-05-14 21:41:00

只有照指示把SMB关掉+445 TCP UDP关掉

作者: kirax20a (キラ) 2017-05-14 21:47:00

结果刚才仔细翻了推文 imasa大有说到我那状况是确定OK的

作者: ica72 (随遇~) 2017-05-14 22:05:00

感谢kirax大说明谢谢!!也感谢imasa大详细的文章谢谢!!~

作者: kirax20a (キラ) 2017-05-14 22:39:00

别要谢就谢imasa大吧！我也只是个有求于各位大神的乡民而已

作者: ying8375 2017-05-14 23:23:00

我用命令提示字符打开跑出http://imgur.com/h2H8fSa请问这是怎么了?

作者: billy870302 (Aisaka_Taiga) 2017-05-15 01:19:00

这样是有中?http://i.imgur.com/SOZYGaO.jpg

作者: fantasibear (布谷熊) 2017-05-15 01:35:00

我的画面显示跟楼上billy一样...正想问主要是多了already installed MS17-010这句

继续阅读

Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统piligo Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统kisakisa Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统imasa [求救] Chrome自动跳视窗pomeloyou Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统st09094238 [合购] 卡巴斯基全方位五台两年jessica805 Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统abadjoke [问题] 更新后重开还有机会被勒索吗x526542012 Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统qxxrbull [请益] 大约2个月都没有开机的win7 会不会中毒？x8031452