必须处理过程: 因为驱动人生的病毒 已经通过mimikatz 获取到了windows的明文密码. 如果已经被感染的机器 说明密码已经被黑产得到, 建议 必须修改密码 类似于 Test6530 这样的密码 必须修改. 并且不局限于 administrator密码 sqlserver的sa密码也必须修改. 怀疑 黑产作者 后续会跟进 redis postgresql 等的漏洞 进行操作. 建议为了安全 取消 除了服务器本机之外的访问权限(!-_-!)
使用最新版本的火绒发现 不能处理掉计划任务等事项, 建议必须手工处理和病毒查收 一起进行.
注意删除所有windows 下面的文件. 以策安全.
病毒存在路径:
C:\Windows\
C:\Windows\SysWOW64\
C:\Windows\SysWOW64\drivers
C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming
C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\Microsoft\
等路径
注册表可能的路径为:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注意自己区分 不要随意删除有用的文件..
1. 关闭虚拟机的外部网络连接
不执行powershell 命令之后 taskmgr 应该就会缓和很多.