病毒---手动删除Trojan.Miner.gbq病毒

最新推荐文章于 2024-05-16 09:33:11 发布
最新推荐文章于 2024-05-16 09:33:11 发布
阅读量4.7k 收藏 6
点赞数 1
分类专栏: 病毒

一、病毒信息

病毒名称:Trojan.Miner.gbq。

病毒类型:挖矿程序,后门,蠕虫。

中毒后表现,电脑会运行大量的exe,名字都很奇怪,都是字母组合,程序的大小都是55KB,会自我复制,无法删除,这些Exe主要出现在 c:\windows\temp和c:\windows这两个目录,同时会生成一个配置文件mkatz.ini,里面全是局域网内的电脑登录密码,而且很占cpu,这个病毒非常恶心。之后在查了许多资料后找到了解决方法,请参考原文链接:https://www.freebuf.com/articles/network/196594.html

二、文件行为

1).下载保存文件到c:\windows\temp\updater.exe,执行后移动到其他位置;

2).移动文件到c:\windows\system32\svhost.exe,并设置隐藏属性;

3).拷贝文件到c:\windows\system32\drivers\svchost.exe,并设置隐藏属性;

4).释放文件到c:\windows\system32\drivers\taskmgr.exe,并设置隐藏属性;

5).释放文件到c:\windows\system32\wmiex.exe,并设置隐藏属性;

6).下载文件到c:\windows\temp\svchost,此文件为永恒之蓝漏洞利用工具;

7).释放文件到c:\windows\temp\m.ps1,此文件为mimikatz密码hash提取工具;

8).释放文件到c:\windows\temp\mkatz.ini,此文件包含提取本机用户的hash值。

注:在Windows64位系统中c:\windows\system32替换为c\windows\SysWOW64;

三、注册表行为

1).添加注册表项:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers

四、网络行为

1).尝试上传主机信息到http[:]//i.haqo.net;

2).尝试上传主机信息到http[:]//p.abbny.com;

3).尝试上传主机信息到http[:]//o.beahh.com;

4).尝试上传主机信息到http[:]//ii.haqo.net;

5).尝试上传主机信息到http[:]//pp.abbny.com;

6).尝试上传主机信息到http[:]//oo.beahh.com;

7).尝试获取远控指令信息http[:]//i.haqo.net/i.png;

8).尝试获取远控指令信息http[:]//p.abbny.com/im.png;

9).尝试获取远控指令信息http[:]//o.beahh.com/i.png;

10).尝试获取远控指令信息http[:]//ii.haqo.net/u.png;

11).尝试获取远控指令信息http[:]//pp.abbny.com/u.png;

12).尝试获取远控指令信息http[:]//oo.beahh.com/u.png;

五、手工清除方法

1).删除计划任务,结束病毒进程并删除服务:

Ÿ 删除名为Ddrivers和WebServers的计划任务;

Ÿ 删除名为DnsScan的计划任务;

Ÿ 删除名为\Microsoft\Windows\Bluetooths的计划任务;

Ÿ 删除可能存在的计划任务Certificate;

Ÿ 删除可能存在的计划任务Credentials;

Ÿ 结束名为wmiex.exe进程以及描述为“svchost”的svchost进程;(注:通常正常的svchost进程描述为“Windows服务主进程”);

Ÿ 删除名为Ddriver和WebServers的服务项;

2).删除下载和释放的病毒文件,路径如下:

Ÿ c:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat(注:[Username] 替换为当前登录的用户名);

Ÿ c:\Users\[Username]\AppData\Roaming\Microsoft\cred.ps1(注:[Username]替换为当前登录的用户名);

Ÿ c:\programdata\microsoft\cred.ps1;

Ÿ c:\windows\temp\updater.exe;

Ÿ c:\windows\system32\svhost.exe;

Ÿ c:\windows\system32\drivers\svchost.exe;

Ÿ c:\windows\system32\drivers\taskmgr.exe;

Ÿ c:\windows\system32\wmiex.exe;

Ÿ c:\windows\temp\svchost;

Ÿ c:\windows\temp\m.ps1;

Ÿ c:\windows\temp\mkatz.ini;

3).删除病毒创建的注册表项:

Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver;

Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers;

4).删除病毒设置的防火墙栏目:

Ÿ 删除入站规则名为UDP,开放65532端口的规则;

Ÿ 删除入站规则名为UDP2,开放65531端口的规则;

Ÿ 删除入站规则名为ShareService,开放65533端口的规则;

5).删除病毒设置的端口转发的设置

CMD管理员执行如下命令:

Ÿ netsh interface portproxy delete v4tov4 listenport=65531

Ÿ netsh interface portproxy delete v4tov4 listenport=65532

6).最后要在windows下定时任务内删除多有病毒相关的定时任务

 

yysalad
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
清理特洛伊木马——Trojan:Win32/Vigorf.A
m0_59302403的博客
01-25 3617
常规方法、无门槛清理特洛伊木马,只限于Trojan:Win32/Vigorf.A。
如何手动清除常见的小病毒
溪流漫话
06-11 1496
 在本文中涉及的软件1、Process Explorer一个进程管理器,比系统中的任务管理器强点。2、Autoruns自启动项管理器,可以查看系统中地自启动项目,扫描很全面。  病毒确实是一个令人头痛的问题,特别对于那些对系统不是太熟悉的人。本文针对这一部分人,尝试着教会他们如何应对。如果您是大虾,请莫笑话,如果您有兴致,欢迎阅读并指正不当之处。    
清除 Trojan [转载]
Flyingis
10-24 387
    在不同计算机上生成的病毒名不一样,我的是xyscfx95.dll,网上有说是fxahmz90.dll,不管是哪种,卡巴斯基能够检测出来,但杀不了,每次说需要重启来删除文件,但重启后病毒仍然存在,卡巴斯基发出同样的警告。在网上搜索xyscfx95.dll,没有结果,查找"Trojan-Downloader.Win32.QQHelper.mo"找到了解决方法,贴在下面:    ...
标题:一键搭建安全代理:EasyTrojan——最简Trojan部署脚本
最新发布
gitblog_00041的博客
05-16 356
标题:一键搭建安全代理:EasyTrojan——最简Trojan部署脚本 项目地址:https://gitcode.com/eastmaple/easytrojan 1、项目介绍 EasyTrojan是一个为个人用户设计的一键式Trojan代理服务器部署脚本,它以其简单易用和高度自动化的特点,让你只需一行命令即可完成服务器的配置。这款工具特别适合那些希望快速搭建安全连接,而又缺乏系统管理经验的用户...
木马病毒的查杀清除方法
tgw2000的专栏
01-20 1161
明白了"木马"的工作原理,这样我们就会很容易发现电脑中的"木马"。我们也就可以轻易的查杀电脑中的木马病毒了!"木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为"系统服务"可以很轻松地伪装自己。当然它也会悄无声息地启
windows下删除病毒文件
mahuifa的博客
10-17 1533
1、适用场景 病毒文件反复自动重启,无法删除,资源管理器也无法停止; 如360、2345这些流氓。 2、解决办法 Win + R,输入msconfig或系统配置,打开系统配置界面; 选择引导–勾选安全引导,点击确认,然后重启。 系统重启后就进入了安全模式,这时就可以随意删除病毒文件了,可以使用Everything软件查找病毒软件相关文件,然后手动删除删除干净后再打开系统配置界面,将安全引导取消勾选,然后重启系统就可以了。 ...
trojan-qt5.app.zip
04-06
trojan-qt5.app.zip
安全相关-病毒防治-trojan remover(木马查杀) v6.zip
08-12
安全相关-病毒防治-trojan remover(木马查杀) v6.zip
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
Trojan-Qt5-Windows.1.1.6.rar
01-27
Trojan Client
【字符串哈希】 HDOJ 4080 Stammering Aliens
热门推荐
yysys
09-25 1万+
这道题用字符串哈希较慢。。。。C++超时。。。G++AC。。。 #include #include #include #include #include #include #include #include #include #include #include #include #include #define maxn 100000
4080-54-0,3-Ethylisonicotinic acid,3-乙基异烟酸,大环化合物
jdkyygg的博客
05-17 3004
3-乙基异烟酸中异烟酸又名4-吡啶羧酸,是一类重要的医药中间体,广泛应用于异烟肼、特非那丁等药物的合成,也可作为抗腐蚀剂、电镀添加剂、感光树脂稳定剂、聚氯乙烯热稳定剂和有色金属浮选药剂等,具有广泛的用途和广阔的市场前景。3-Ethylisonicotinic acid | 3-乙基异烟酸| CAS:4080-54-0 | 纯度:95%+溶解性(Solubility):溶于有机溶剂(DMF、DMSO、二氯甲烷),极难溶于水。用途:仅用于科学研究或者工业应用等非医疗目的,不可用于人类,非药用,非食用。
怎样才算一个好的产品经理?
ETZRP的专栏
05-18 5496
虽然是小公司全能型人员,但是随着实际写代码变得越来越少,产品的规划和运营越来越多,自己的主要职能也在向产品经理上转变。 所以最近几年比较关注产品经理方面的功能,那么怎么才能算是一个好的产品经理呢? 周鸿伟的观点 这个名字相信让很多人又爱有恨,但在他的一篇《大我和小我》中谈到几点我个人觉得还是很值得学习: 把自己当成CEO,对一个产品负责,关注设计、技术、用户体验,至于title
图论算法与模型(训练指南题库)
weixin_34138377的博客
09-05 630
一、基础题目 1、UVA 11624 Fire!迷宫问题 多源BFS 题意: 帮助joe走出一个大火蔓延的迷宫,其中joe每分钟可往上下左右四个方向之一走,所有着火的格子都会蔓延(空格与着火格有公共边,下一分钟这个空格也会着火)。迷宫中有一些障碍格,joe和火都无法进入,当joe走到一个边界的格子我们认为他走出了迷宫 输出R行C列的迷宫,#表示墙,.表示空地,J表示joe,F是着火格 ...
5V升压充电8.4V芯片
泛海微电子技术分享博客
01-29 2081
LY4080是5V2A输入升压充电8.4V1A给双节锂电池充电芯片 输入小电流不会拉死,温度60°建议800-900MA5V2A 10W输入同步开关升压充电, 芯片是一款支持双节串联锂电池/锂离子电池的升压充电管理 IC 芯片集成功率 MOS,采用开 关型架构, 使其在应用时仅需极少的外围器件, 并有效减小整体方案的尺寸,降低 BOM 成本。 芯片的升压开关充电转换器工作频率550KHz, 5V2A输入,8V/1A充电输出转换效90%,输入电压为5V, 内置自适应环路。可以智能调节充电电流,防止拉 挂适配器
驱动人生挖矿木马分析与处置
beichenyyds的博客
01-11 1468
样本分析
蓝桥杯校内模拟赛
滑技工厂的博客
03-18 1万+
蓝桥杯校内模拟赛模拟赛1200000的约数GB转MB多少个92019个结点的二叉树递增三元组的中心数位递增元音辅音单词小明的空地特殊的正整数序列晚会节目 模拟赛 我的18号上午的比赛,题目顺序和一些细节可能和现在网上的不一样。我是按照我的顺序写的。 因为不能直接提交判题,所以我也不知道我写的对不对,发现不对的请评论区指正。 做之前我也没想到蓝桥杯还可以有填空题,这种就不用受运行时间和内存的限制了,...
如何停止正在执行的定时任务
weixin_43597991的博客
05-09 7839
本文内容参考公众号 "Java技术栈" 通过@Scheduled开启的定时任务,当需要关闭的时候,可以通过自定义任务调度的方式进行关闭 首先需要添加一个配置类来替代原有的自动配置类 @Data @Component public class ThreadPoolTaskSchedulerComponent extends ThreadPoolTaskScheduler { private Map<Object, ScheduledFuture<?>> schedule
[Wireshark]交换机设置镜像端口并使用Wireshark抓包异常流量分析病毒种类
weixin_42728126的博客
04-23 1万+
前言 最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。 0x00 华为交换机镜像设置端口抓包 1、 全局模式下指定一个镜像端口 observe-port 1 interface g 0/0/4 2、指定一个监测端口 int g 0/0/5 port-mirrori...
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的注册表项。在开始菜单中输入“regedit”打开注册表编辑器,找到以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其中所有值名为“Trojan-Downloader.Win32.Agent.bbb”的键值。 3. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的文件。在开始菜单中输入“cmd”打开命令提示符,输入“dir %SystemDrive%\ /a /s /b | findstr Trojan-Downloader.Win32.Agent.bbb”查找所有Trojan-Downloader.Win32.Agent.bbb木马相关的文件,并删除它们。 4. 清除系统垃圾文件。在开始菜单中输入“cleanmgr”打开磁盘清理工具,选择要清理的磁盘,并勾选“临时文件”、“下载文件”等垃圾文件,点击“确定”清理系统垃圾文件。 5. 更新杀毒软件并进行全盘扫描,确保系统没有其他病毒和恶意软件。 6. 最后,重启电脑,确保所有更改生效并且Trojan-Downloader.Win32.Agent.bbb木马已经被完全清除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值