驱动人生后门病毒处置

病毒现象

1. C:\Windows\SysWOW64\下存在svhost.exe、C:\Windows\SysWOW64\driver目录下存在svchost.exe taskmgr.exe(进程管理器)、temp目录下存在svchost.exe,且存在所有的利用工具包含m.ps1、mkatz.ini(mimikatz)、temp.vbs

2. 计划任务存在Bluetooths、DnsScan

3. 进程项存在svchost.exe(属性查看来源于temp)、taskmgr.exe(查看属性来源于C:\Windows\SysWOW64\driver)

病毒处置

1. 存在”驱动人生”软件用户手工更新版本或卸载软件

2. 修复”永恒之蓝”的漏洞，补丁下载。

3. 若不使用共享服务，关闭相关共享端口(135、137、138、139、445)及不必要的端口。

4. 删除任务计划DnsScan、WebServers、Ddrivers和Bluetooths、Certificate、Credentials。

5. 删除C:\Windows\SysWOW64\下的svhost.exe，删除C:\Windows\SysWOW64\driver目录下存在svchost.exe、taskmgr.exe，删除temp目录下面的m.ps1、mkatz.ini(mimikatz)、tmp.vbs、svchost.exe

6. 服务器密码修改为八位及其以上含大小字母特殊字符，切勿使用弱口令

7. 再次全盘查杀，确保确实病毒已经处理

补充(针对新老版本）

1. 恶意文件可能存在的地方

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

   c:\windows\system32\svhost.exe c:\windows\system32\drivers\svchost.exe c:\windows\system32\drivers\taskmgr.exe c:\windows\system32\wmiex.exe c:\windows\sysWOW64\svhost.exe c:\windows\sysWOW64\drivers\svchost.exe c:\windows\sysWOW64\drivers\taskmgr.exe c:\windows\sysWOW64\wmiex.exe c:\windows\temp\svchost.exe c:\windows\temp\mkatz.ini c:\windows\temp\m.ps1 C:\windows\temp\ttt.exe %appdata%\Microsoft\cred.ps1 C:\windows\temp\tmp.vbs %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\run.bat

2. 可能存在的恶意进程

   1 2 3 4 5 6 7 8 9 10

   c:\windows\system32\svhost.exe c:\windows\system32\drivers\svchost.exe c:\windows\system32\drivers\taskmgr.exe c:\windows\system32\wmiex.exe c:\windows\sysWOW64\svhost.exe c:\windows\sysWOW64\drivers\svchost.exe c:\windows\sysWOW64\drivers\taskmgr.exe c:\windows\sysWOW64\wmiex.exe c:\windows\temp\svchost.exe C:\windows\temp\ttt.exe

3. 注册表
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run->Ddriver
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run->WebServers

病毒详情

https://guanjia.qq.com/news/n3/2475.html