使用前一定先创建快照备份,否则不要使用本文方法。
taskkill /F /im JVIBH.exe
taskkill /F /im TsRMf.exe
taskkill /F /im 3PwJLGwf.exe
taskkill /F /im oydr2OO6.exe
taskkill /F /im lzjp.exe
taskkill /F /im nIaX.exe
taskkill /F /im kCXsjb.exe
taskkill /F /im cymdxn.exe
taskkill /F /im vuoj.exe
taskkill /F /im mAc4c9GO.exe
taskkill /F /im EsH7Fc5F.exe
taskkill /F /im cMOvRGi9.exe
taskkill /F /im fzary.exe
taskkill /F /im 80EDN6nD.exe
del C:\Windows\JVIBH.exe /a:h /f
del c:\windows\TsRMf.exe /a:h /f
del C:\Windows\3PwJLGwf.exe /a:h /f
del C:\Windows\oydr2OO6.exe /a:h /f
del C:\Windows\TEMP\lzjp.exe /a:h /f
del C:\Windows\nIaX.exe /a:h /f
del c:\windows\kCXsjb.exe /a:h /f
del C:\Windows\TEMP\cymdxn.exe /a:h /f
del C:\Windows\TEMP\vuoj.exe /a:h /f
del C:\Windows\mAc4c9GO.exe /a:h /f
del C:\Windows\EsH7Fc5F.exe /a:h /f
del C:\Windows\cMOvRGi9.exe /a:h /f
del C:\Windows\TEMP\fzary.exe /a:h /f
del C:\Windows\80EDN6nD.exe /a:h /f
schtasks /delete /TN JVIBH /F
schtasks /delete /TN mhLpn85RiQ /F
schtasks /delete /TN IZY8bgnbEO /F
schtasks /delete /TN nIaX /F
schtasks /delete /TN DFPDYg2Dyw /F
schtasks /delete /TN 7bZAylWFwu /F
schtasks /delete /TN sRr47NEs9l /F
schtasks /delete /TN p6Mc2efsyB /F
schtasks /delete /TN "\OqpUpVgk" /F
schtasks /delete /TN "\hGKBet" /F
schtasks /delete /TN \Microsoft\Windows\lzjp /F
schtasks /delete /TN "\pwXs" /F
schtasks /delete /TN \Microsoft\Windows\cymdxn /F
schtasks /delete /TN \Microsoft\Windows\vuoj /F
schtasks /delete /TN \Microsoft\Windows\fzary /F
sc config Ddriver start= disabled
sc config WebServers start= disabled
net stop Ddriver
net stop WebServers
taskkill /im wmiex.exe
netsh interface portproxy delete v4tov4 listenport=65532
netsh interface portproxy delete v4tov4 listenport=65531
netsh advfirewall firewall del rule name=UDP dir=in
netsh advfirewall firewall del rule name=UDP2 dir=in
netsh advfirewall firewall del rule name=ShareService dir=in
del c:\windows\syswow64\wmiex.exe /a:h /f
del c:\windows\system32\wmiex.exe /a:h /f
del C:\Windows\Temp\_MEI5697402\*.* /f /q
del C:\Windows\Temp\m.ps1 /f /q
del C:\Windows\Temp\*.tmp /f /q
del C:\Windows\Temp\*.sqm /f /q
del C:\Windows\Temp\*.vbs /f /q
del C:\Windows\Temp\mkatz.ini /f /q
del C:\Windows\Temp\svchost.exe /f /q
del c:\windows\syswow64\drivers\svchost.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\taskmgr.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\svchost.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\taskmgr.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers /f
schtasks /delete /TN Ddrivers /F
schtasks /delete /TN DnsScan /F
schtasks /delete /TN WebServers /F
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
3.1、病毒木马可以利用了系统自带的服务RemComSvc,创建管道横向传播。如果业务不需要该服务,建议停掉。
具体操作命令如下,在cmd中执行即可。
sc config RemComSvc start= disabled
3.2、病毒木马可能会有扫描的smb的445端口,如果业务不需要开放445端口,建议关闭。
关闭命令如下,同样在cmd下运行即可。
ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x
ipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x
3.3、建议查看相关注册表启动项,看看是否还有可疑启动项。
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce