病毒现象
安全设备报wmixml挖矿或者主机访问了wmixml矿池地址。
病毒处置
1.使用ProcessExplorer等工具找到挖矿的svchost.exe进程删除
2.使用autoruns.exe检查开机启动,删掉病毒服务
3.使用everything.exe查找appmg.dll、wvms_dp.inf、wmixml.dat文件,存在则删除
4.使用SfabAntiBot.exe进行全盘查杀。下载地址: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
5.修补漏洞:如果内网使用了JBoss,请确认好版本并修补相关漏洞
6.修改密码:如果主机账号密码比较弱,建议重置高强度的密码