病毒现象
- 服务器存在卡顿和外联异常IP等现象。
- 存在powershell.exe进程。
病毒处置
- 使用Autoruns工具(微软官网可下),选择WMI,将该WMI启动项删除(该项底部详细栏有“SELECT * FROM __InstanceModificationEvent WITHIN 5600”)。
- 打开“任务管理器”,将Powershell宿主进程杀掉即可。
- 修补漏洞:打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。
- 修改密码:如果主机账号密码比较弱,建议重置高强度的密码。