Posted on

病毒现象

1.C:\Windows\System32\EnrollCertXaml.dll
C:\Windows\SpeechsTracing\
C:\Windows\SpeechsTracing\Microsoft\
在以上这些目录中存在svchost.exe、spoolsv.exe、svchost.xml、x86.dll/x64.dll、HalPluginsServices.dll、EnrollCertXaml.dll等文件。

  1. 中毒主机对同网段主机有大量445连接。

病毒处置

1.使用autoruns.exe删掉病毒主服务srv,检查开机启动项和计划任务项。
2.删除上述文件夹中的病毒文件并关闭病毒进程。
3.使用SfabAntiBot.exe进行全盘查杀。下载地址: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
4.关闭135,137,139,445网络共享端口
5.打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应系统的漏洞补丁https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

病毒详情

http://www.sohu.com/a/231033783_99990767

Posted on

病毒现象

  1. C:\Windows\SysWOW64\下存在svhost.exe、C:\Windows\SysWOW64\driver目录下存在svchost.exe taskmgr.exe(进程管理器)、temp目录下存在svchost.exe,且存在所有的利用工具包含m.ps1、mkatz.ini(mimikatz)、temp.vbs
  2. 计划任务存在Bluetooths、DnsScan
  3. 进程项存在svchost.exe(属性查看来源于temp)、taskmgr.exe(查看属性来源于C:\Windows\SysWOW64\driver)

病毒处置

  1. 存在”驱动人生”软件用户手工更新版本或卸载软件
  2. 修复”永恒之蓝”的漏洞,补丁下载
  3. 若不使用共享服务,关闭相关共享端口(135、137、138、139、445)及不必要的端口。
  4. 删除任务计划DnsScan、WebServers、Ddrivers和Bluetooths、Certificate、Credentials。
  5. 删除C:\Windows\SysWOW64\下的svhost.exe,删除C:\Windows\SysWOW64\driver目录下存在svchost.exe、taskmgr.exe,删除temp目录下面的m.ps1、mkatz.ini(mimikatz)、tmp.vbs、svchost.exe
  6. 服务器密码修改为八位及其以上含大小字母特殊字符,切勿使用弱口令
  7. 再次全盘查杀,确保确实病毒已经处理

补充(针对新老版本)

  1. 恶意文件可能存在的地方

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    c:\windows\system32\svhost.exe
    c:\windows\system32\drivers\svchost.exe
    c:\windows\system32\drivers\taskmgr.exe
    c:\windows\system32\wmiex.exe
    c:\windows\sysWOW64\svhost.exe
    c:\windows\sysWOW64\drivers\svchost.exe
    c:\windows\sysWOW64\drivers\taskmgr.exe
    c:\windows\sysWOW64\wmiex.exe
    c:\windows\temp\svchost.exe
    c:\windows\temp\mkatz.ini
    c:\windows\temp\m.ps1
    C:\windows\temp\ttt.exe
    %appdata%\Microsoft\cred.ps1
    C:\windows\temp\tmp.vbs
    %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\run.bat

  2. 可能存在的恶意进程

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    c:\windows\system32\svhost.exe
    c:\windows\system32\drivers\svchost.exe
    c:\windows\system32\drivers\taskmgr.exe
    c:\windows\system32\wmiex.exe
    c:\windows\sysWOW64\svhost.exe
    c:\windows\sysWOW64\drivers\svchost.exe
    c:\windows\sysWOW64\drivers\taskmgr.exe
    c:\windows\sysWOW64\wmiex.exe
    c:\windows\temp\svchost.exe
    C:\windows\temp\ttt.exe

  3. 注册表
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run->Ddriver
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run->WebServers

病毒详情

https://guanjia.qq.com/news/n3/2475.html

Posted on

病毒现象

  1. C:\Windows\System32\路径下或者C:\Windows\SysWOW64\下存在svhost.exe、svvhost.exe、svhhost.exe
  2. 存在系统服务Ddrive

病毒处置

  1. 存在”驱动人生”软件用户手工更新版本或卸载软件
  2. 修复”永恒之蓝”的漏洞,补丁下载
  3. 若不使用共享服务,关闭相关共享端口(135、137、138、139、445)及不必要的端口。
  4. 关闭并删除Ddrive服务
  5. 关闭进程svhost.exe、svvhost.exe、svhhost.exe
  6. 删除C:\Windows\System32\路径下或者C:\Windows\SysWOW64\下的svhost.exe、svvhost.exe、svhhost.exe、C:\install.exe(若存在则删除)、C:\Windows\Temp\svvhost.exe(若存在则删除)
  7. 删除任务计划Bluetooths(若存在则删除)
  8. 服务器密码修改为八位及其以上含大小字母特殊字符,切勿使用弱口令

病毒详情

https://mp.weixin.qq.com/s/D2gPdsplQFQcjq_pplg5xQ
https://www.freebuf.com/column/192015.html
http://www.jiangmin.com/aboutus/news/security/2018/1217/342.html