驱动人生后门病毒处置

Posted on

病毒现象

  1. C:\Windows\System32\路径下或者C:\Windows\SysWOW64\下存在svhost.exe、svvhost.exe、svhhost.exe
  2. 存在系统服务Ddrive

病毒处置

  1. 存在”驱动人生”软件用户手工更新版本或卸载软件
  2. 修复”永恒之蓝”的漏洞,补丁下载
  3. 若不使用共享服务,关闭相关共享端口(135、137、138、139、445)及不必要的端口。
  4. 关闭并删除Ddrive服务
  5. 关闭进程svhost.exe、svvhost.exe、svhhost.exe
  6. 删除C:\Windows\System32\路径下或者C:\Windows\SysWOW64\下的svhost.exe、svvhost.exe、svhhost.exe、C:\install.exe(若存在则删除)、C:\Windows\Temp\svvhost.exe(若存在则删除)
  7. 删除任务计划Bluetooths(若存在则删除)
  8. 服务器密码修改为八位及其以上含大小字母特殊字符,切勿使用弱口令

病毒详情

https://mp.weixin.qq.com/s/D2gPdsplQFQcjq_pplg5xQ
https://www.freebuf.com/column/192015.html
http://www.jiangmin.com/aboutus/news/security/2018/1217/342.html