驅動人生升級版后門病毒處置

本文轉載自查看原文 2020-02-28 22:19 1572 windows病毒處置/ 應急響應

1、病毒現象

（1）、文件特征
C:\Windows\SysWOW64\下存在svhost.exe、C:\Windows\SysWOW64\driver目錄下存在svchost.exe taskmgr.exe(進程管理器)、temp目錄下存在svchost.exe,且存在所有的利用工具包含m.ps1、mkatz.ini(mimikatz)、temp.vbs
（2）、計划任務存在Bluetooths、DnsScan
（3）、進程項存在svchost.exe(屬性查看來源於temp)、taskmgr.exe(查看屬性來源於C:\Windows\SysWOW64\driver)

2、病毒處置

（1）、存在”驅動人生”軟件用戶手工更新版本或卸載軟件
（2）、修復”永恆之藍”的漏洞，補丁下載。
（3）、若不使用共享服務，關閉相關共享端口(135、137、138、139、445)及不必要的端口。
（4）、刪除任務計划DnsScan、WebServers、Ddrivers和Bluetooths、Certificate、Credentials。
（5）、刪除C:\Windows\SysWOW64\下的svhost.exe，刪除C:\Windows\SysWOW64\driver目錄下存在svchost.exe、taskmgr.exe，刪除temp目錄下面的m.ps1、mkatz.ini(mimikatz)、tmp.vbs、svchost.exe
（6）、服務器密碼修改為八位及其以上含大小字母特殊字符，切勿使用弱口令
（7）、再次全盤查殺，確保確實病毒已經處理

3、補充(針對新老版本）

惡意文件可能存在的地方

c:\windows\system32\svhost.exe
c:\windows\system32\drivers\svchost.exe
c:\windows\system32\drivers\taskmgr.exe
c:\windows\system32\wmiex.exe
c:\windows\sysWOW64\svhost.exe
c:\windows\sysWOW64\drivers\svchost.exe
c:\windows\sysWOW64\drivers\taskmgr.exe
c:\windows\sysWOW64\wmiex.exe
c:\windows\temp\svchost.exe
c:\windows\temp\mkatz.ini
c:\windows\temp\m.ps1
C:\windows\temp\ttt.exe
%appdata%\Microsoft\cred.ps1
C:\windows\temp\tmp.vbs
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\run.bat

可能存在的惡意進程

注冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run->Ddriver
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run->WebServers

4、病毒詳情

https://guanjia.qq.com/news/n3/2475.html

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 驅動人生后門清除方案驅動人生病毒處理的簡單方法(需要保持更新) frp(升級版)教程 incaseformat病毒處置 .net面試題升級版 H5圖片裁剪升級版 midway---升級版的egg 4-10 階乘計算升級版京東搶購腳本升級版 Dev 等待提示 WaitDialogForm 升級版