必須處理過程: 因為驅動人生的病毒 已經通過mimikatz 獲取到了windows的明文密碼. 如果已經被感染的機器 說明密碼已經被黑產得到, 建議 必須修改密碼 類似於 Test6530 這樣的密碼 必須修改. 並且不局限於 administrator密碼 sqlserver的sa密碼也必須修改. 懷疑 黑產作者 后續會跟進 redis postgresql 等的漏洞 進行操作. 建議為了安全 取消 除了服務器本機之外的訪問權限(!-_-!)
使用最新版本的火絨發現 不能處理掉計划任務等事項, 建議必須手工處理和病毒查收 一起進行.
注意刪除所有windows 下面的文件. 以策安全.
病毒存在路徑:
C:\Windows\
C:\Windows\SysWOW64\
C:\Windows\SysWOW64\drivers
C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming
C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\Microsoft\
等路徑
注冊表可能的路徑為:
計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注意自己區分 不要隨意刪除有用的文件..
0. 中毒現象:
很明顯的高CPU
殺掉這兩個計划任務
1. 關閉虛擬機的外部網絡連接
不執行powershell 命令之后 taskmgr 應該就會緩和很多.
2. 進入計划任務刪除計划任務
注意兩層目錄都有 病毒創建的 計划任務.
注意 12月份最新的更新 增加了新的目錄
並且在windows 目錄下面也有一個 隨機命名的計划任務 也需要刪除掉
有時間的話 需要將所有的計划任務都過一遍.
3. 進入啟動 將兩個未知服務廠商的服務禁用掉
4. 進入這個目錄 刪除最近修改的兩個文件.. 刪除快了 忘記截圖了
c:\windows\syswow64
5. 刪除這個目錄下的 部分文件
6. 下個最新版本的殺毒軟件殺毒..
7. 不放心的話 再全盤查殺一下
8. 修改admin 的密碼 避免重復密碼唄使用..
9. 江民 帖子里面說了下 病毒竟然還有 端口轉發 將dns 端口轉發到了 高位的端口號..
處理..
需要的命令:
netsh interface portproxy reset