病毒现象
C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
C:\Windows\System32\TrustedHostex.exe
在以上这些目录中存在svchost.exe、spoolsv.exe、svchost.xml、x86.dll/x64.dll、MarsTraceDiagnostics.xml、snmpstorsrv.dll等文件。中毒主机对同网段主机有大量445连接。
病毒处置
1.使用autoruns.exe删掉病毒主服务srv,检查开机启动项和计划任务项。
2.删除上述文件夹中的病毒文件并关闭病毒进程。
3.使用SfabAntiBot.exe进行全盘查杀。下载地址: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
4.关闭135,137,139,445网络共享端口
5.打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应系统的漏洞补丁https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
病毒详情
https://www.freebuf.com/articles/terminal/190093.html
