不好意思爬文没看到精确的描述
(因为都是说有没有开始中毒被改档名了
我不确定我这样算不算已经中了)
想请问一下小红伞一直出现挡住mssecsvc
电脑档案似乎没异状
(不过刚刚要开魔兽世界开不了 然后就出现小红伞)
这样算是没中毒吗?
是不是关闭SMB1 然后更新完就没问题了呢?
还有什么档案要删除的吗?

拔掉网络，如果小红伞没出现就表示都挡下来。如果有出现就表示已经在电脑里了。先把重要档案搬离开吧。不过要更安全还是重灌在更新到最新妥当。

先关机，再拔网络线。从其他安全的电脑去下载更新档，然后传到随身碟，再以手动更新。

根据#1P5hh4QR 现在应该是第一步骤mssecsvc.exe会想丢tasksche.exe 但是被小红伞挡下来所以加密应该还没开始 看能不能让红伞自力清除保险一点的作法 就是先把东西备份后整个重灌

小红伞没防火墙，所以才会出现mssecsvc有防火墙的直接拒绝连线，不会出现mssecsvc

结果档案还是被改了一部分C. EF全毁. D槽还没 只能把D槽还没备份的照片备份了

时间差还是怪怪的，你检查时候还没有，应该就拔网络线了主程式被小红伞吃了，还能感染三槽。有其他机制吗？底下也是说插上随身硬盘被感染，怎和目前看到的资讯有落差。

刚刚在安全模式下备份到外接硬盘 这样不会把毒带过去吧orz ?重新开机后还是一直跳警告但是不是那个执行档 而是TR/FileCoder.724645然后对象是我已经被改的E槽资料夹

TR/FileCoder.724645 就是Wanncry病毒 这是雨伞的编号mssecsvc.exe难道还有丢出什么东西程式跑加密程序？好奇原PO在雨伞报毒之后有没有把马上网络中断

没有 ！

嗯...没有...那就有几种可能让mssecsvc.exe找到漏洞接着把tasksche.exe引进来 就看透过什么方式不然就是tasksche.exe早就开始作用了这只病毒应该还有些行为没有被分析出来

因为没有断网，所以mssecsvc一直进来，可能在某次不小心被启动成功了，说不定tasksche没被挡下，就慢慢改掉了。而备份时候也可能没注意到，不小心连病毒都备份过去了(?)

楼上说的应该是可能性最高的状况 漏掉某次就GG了我刚刚查了雨伞的VDF数据库 WanaCry特征是在5/12 23:57随着7.14.6.158 VDF一起被推送更新 还不到24小时所以前面有装雨伞却没拦到可以说得通 可能刚好在空档总结就是 如果防毒叫了 第一时间就是断网杀毒接着离线更新填漏洞 关闭SMB 443 PORT锁起来如果这样还是救不到 那就要怀疑是变种或未知行为了更正 443 PORT

是445 port。反正现在用来控制感染的网址失效了，只要不

嗯嗯 毕竟我电脑已经被家人开了一个晚上

是已经存在的病毒档，应该不会再发生类似感染。但port还是先锁起来好。能更新就更新。档案放半年看看，文字好像

看看档案也没动静 所以就先没理他 先来作功课

有说半年后说不定有机会(?)，不过真没必要还是全砍了，免的还有什么不可预期的情况。

我怎么更正还是错XD 445对啦XD

照片档会有夹带病毒的可能性吗 ？

我觉得如果加密确实是RSA2048 除非美国拿出秘密武器不然要救回来真的难上加难...什么档案都有夹带病毒的可能性 尤其是加密过的档案谁知道还包进去了什么鬼东西 放著别动他最好

请问我用AVAST昨晚挡住一次后立马断线，然后今早检查C槽未发现taskche等等档案，也没听到AVAST持续警告，请问是否表示拦截成功可以进行备份工作了吗？怕连外接硬盘一起死...

建议楼上先做一次全机扫描 因为可能不只C而已总而言之网络绝对不要先连回去这样虽然我的个性还会先去抓Avast的病毒码来做离线更新但这个步骤非必要就是 毕竟没另一台电脑也不方便这样做全机扫描结束没问题之后 进安全模式再外接硬盘备份基本上这样已经算是很谨慎了如果这样还是GG 那就代表目前对Wanncry的研究不够透彻回原PO 如果已经复制就复制了吧到时候电脑重灌或者找另一台电脑之后 再去扫外接硬盘如果防毒软件没报毒就可以比较安心

已经全机扫描过了，中间还有偷偷连上网络几分钟更新病毒码，后再扫描重开都未发现@@目前看看CDE槽，档案都还正常无异状这样

那我觉得应该是没问题 SMB Windows TCP那些赶紧处置应该就算是从鬼门关前救了回来 感恩AVAST吧XD

阿弥陀佛.....QQ