方案一:重裝系統
為了快速恢復辦公系統安全,不影響后期的辦公/生產。對重裝系統環境不影響目前辦公/生產的設備環境,建議批量重裝系統,快速無危害辦公/生產系統環境。
方案二:木馬清除
-
安裝Mcafee終端,並更新最新病毒特征庫;利用Mcafee終端進行全盤查殺,實現木馬清除。
-
利用微步自研工具findvirus_old,將報警惡意域名放置到findvirus_old目錄下的virus.txt中的 $a1 = "惡意域名",保存virus.txt,運行同目錄下的findvirus.exe,定位系統進程內存中存在惡意域名的可疑進程映像路徑和PID。
-
利用微軟取證工具包(SysInternalSuite)中的procexp.exe找到findvirus.exe定位到的進程名稱,進行排查確定木馬進程。
-
通過定位到木馬進程映像路徑目錄,找到與木馬同大小(本次是Python程序圖標)文件和m2.ps1文件。
-
利用微軟取證工具包(SysInternalSuite)中的autoruns.exe,通過木馬進程名稱查找匹配找到關聯的服務項,刪除相關注冊表相,任務計划表中,名稱不規則,映像路徑為Windows目錄的服務也無需要結合4研判是否查殺。本次木馬是在task目錄下的創建任務計划方式實現長期自啟動。具備感染源的設備,同時,在任務計划列表中創建隱藏任務計划Bluetool項,實現在每日9:00后,每50分鍾重啟一次。此任務計划需要刪除。
-
結束3定位到的木馬進程,清除4定位木馬文件
安全加固
-
設置11位強密碼(包含大小寫字母,數字,特殊字符, 並按產線加以區分)。
-
IT網站下載對應系統補丁下載並安裝。路徑:IT網站軟件下載頁面 -> 操作系統 -> 安全補丁 -> 選擇對應的操作系統的最新補丁下載->雙擊安裝。
-
IT網站下載安裝Mcafee,更新病毒庫,並進行首次掃描功能性驗證。
-
開啟防火牆策略,封堵445,139端口。