碼上歡樂
相關內容    簡體    繁體

Powershell無文件挖礦查殺方法

本文轉載自   查看原文   2020-02-28 17:51   1073    windows病毒處置/ 應急響應

病毒現象

  1. 服務器出現卡頓、CPU飆升
  2. 和其他主機的445端口,建立起大量的連接
  3. 存在大量Powershell進程

病毒處置

  1. 封堵445端口; 或打永恆之藍漏洞補丁(https://wukungt.github.io/2019/03/05/Windows%E8%A1%A5%E4%B8%81%E6%9B%B4%E6%96%B0/)、加強主機密碼且密碼各不相同。

  2. 在AF等設備添加規則,限制訪問下列域名和IP:
    web4.olukotun.info
    update.7h4uk.com
    info.7h4uk.com
    d4uk.7h4uk.com
    111.90.145.52
    185.234.217.139

  1. 使用Autoruns,刪除Powershell的WMI:
    avatar

  2. 使用Autoruns,刪除任務計划 WindowsLogTasks 和 System Log Security Check。
    avatar

  3. 使用ProcessHacker,結束如下進程(選中后,右鍵點擊Terminate即可結束進程):
    a. powershell.exe進程
    b. regsvr32.exe進程
    c. cohernece.exe進程
    avatar

  4. 以上步驟結束后,使用殺軟全盤查殺病毒文件


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Windows下的挖礦木馬查殺 查殺挖礦病毒syst3md zigw 和 nanoWatch, libudev.so 和 XMR 挖礦程序查殺記錄 PowerShell遍歷文件、文件夾的方法 WannaMine4.0查殺方法 Powershell 對Excel文件的幾種操作方法 【學無止境】手動查殺 Cloud Server 挖礦木馬 2019年末Powershell 挖礦病毒的處理與防范 windows應急響應 -- powershell挖礦病毒清理辦法 用Powershell調用DLL文件
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM