一、安装杀毒软件
安装杀毒软件进行【全盘扫描查杀后重启服务器,小心误删文件】
优先推荐火绒安全软件,查杀更彻底
火绒安全软件离线最新版下载:【25M安装包】,支持windows 7/2008R2及以上
360杀毒离线最新版下载:【147M安装包】,支持全系列windows系统,选64位原生增强安装包 146MB(包含本地病毒库),这个本地病毒特征最全
腾讯电脑管家离线最新版下载【133M安装包】,支持windows 7/2008R2及以上
二、删除可能的病毒文件和配置,杀毒软件可识别部分病毒文件,其他可手动清除,如果未发现,可忽略
1-删除m2.ps1,mkatz.ini以及落地木马:
C:\windows,发现m2.ps1病毒文件,删除
C:\windows,发现mkatz.ini病毒文件,删除
C:\Windows,发现大小写字母随机无序命名的exe文件,删除,例如OHnnabMz.exe,aZxVEtb.exe,TSrQeWe.exe【大部分是大小写混合命名】
2-删除病毒进程配置文件:
C:\Windows\Temp,发现svchost.exe病毒文件,删除
C:\Windows\Temp,发现_MEI9362之类的文件夹【病毒配置文件】,删除
C:\Windows\NetworkDistribution,删除整个文件夹【这是病毒文件夹】
3-删除计划任务文件:
C:\Windows\System32\Tasks,发现大小写字母随机无序命名的计划任务文件,删除,例如OHnnabMz,aZxVEtb,TSrQeWe【大部分是大小写混合命名】
C:\Windows\System32\Tasks\Microsoft\Windows,发现Bluetool病毒文件,删除【杀毒可识别,该文件维护病毒长期更新】
命令行输入:taskschd.msc,可打开计划任务,如下为挖矿木马创建的计划任务,最初触发时间是7点或者7点5分,每隔10分钟重复一次。
4-删除k8h3d用户:
第一种方式:命令行输入compmgmt.msc,打开计算机管理,打开本地用户和组中的用户,看是否存在k8h3d这个用户,如有,手工删除。
第二种方式:命令行输入net user,看是否存在k8h3d这个用户,如有,net user k8h3d /del删除。
5-删除病毒的注册表配置:
命令行输入regedit,打开注册表 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Schedule\TaskCache\Tasks\Microsoft\windows\Rass
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Schedule\TaskCache\Tasks\Microsoft\windows\Bluetool
6-顽固进程清理
火绒安全软件可以拦截顽固进程的计划任务反连v.beahh.com,从而发现相关的子进程和父进程,全部强行关闭,可以借助安天发布的ATool系统安全内核分析工具关闭,微软自带任务管理器有时无法完全显示现有进程列表。
三、紧急安全建议
1-立即修改机器上包含administrator在内的所有用户的密码,至少8位以上且包含字母数字特殊字符,不要包含admin/1234/1111等易猜解关键词。
2-立即修改机器上数据库【如有的话】的所有用户的密码,至少8位以上且包含字母数字特殊字符,不要包含admin/1234/1111等易猜解关键词。
3-检查自己掌握的电脑、虚拟机和服务器是否安装安全软件并进行全面查杀,并安装补丁。
4-如果中毒机器系统是windows 7/8/2003/2008/2012系列,该系列系统微软已经不再维护,可申请重装windows 10/11/2019/2022进行替代。
5-中毒系统是windows服务器版本的也可申请关机下线。
