Windows系统被入侵后处理方式介绍
使用前一定先创建快照备份,否则不要使用本文方法。
1、 将ECS断开网络连接
使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。
2、 脚本的cmd以管理员权限运行。
核心的点:将系统内部非正常的系统文件,杀掉进程;删除文件,删除注册表,删除计划任务,禁止/停止/删除服务。
下述脚本只做参考:
复制下述内容,放到windows系统中,新建一个txt文件保持,然后修改后缀为bat。使用管理员权限进行运行。
木马病毒的文件名、服务名都有可能会发生变化;脚本只是辅助。
taskkill /F /im JVIBH.exetaskkill /F /im TsRMf.exetaskkill /F /im 3PwJLGwf.exetaskkill /F /im oydr2OO6.exetaskkill /F /im lzjp.exetaskkill /F /im nIaX.exetaskkill /F /im kCXsjb.exetaskkill /F /im cymdxn.exetaskkill /F /im vuoj.exetaskkill /F /im mAc4c9GO.exetaskkill /F /im EsH7Fc5F.exetaskkill /F /im cMOvRGi9.exetaskkill /F /im fzary.exetaskkill /F /im 80EDN6nD.exedel C:\Windows\JVIBH.exe /a:h /fdel c:\windows\TsRMf.exe /a:h /fdel C:\Windows\3PwJLGwf.exe /a:h /fdel C:\Windows\oydr2OO6.exe /a:h /fdel C:\Windows\TEMP\lzjp.exe /a:h /fdel C:\Windows\nIaX.exe /a:h /fdel c:\windows\kCXsjb.exe /a:h /fdel C:\Windows\TEMP\cymdxn.exe /a:h /fdel C:\Windows\TEMP\vuoj.exe /a:h /fdel C:\Windows\mAc4c9GO.exe /a:h /fdel C:\Windows\EsH7Fc5F.exe /a:h /fdel C:\Windows\cMOvRGi9.exe /a:h /fdel C:\Windows\TEMP\fzary.exe /a:h /fdel C:\Windows\80EDN6nD.exe /a:h /fschtasks /delete /TN JVIBH /Fschtasks /delete /TN mhLpn85RiQ /Fschtasks /delete /TN IZY8bgnbEO /Fschtasks /delete /TN nIaX /Fschtasks /delete /TN DFPDYg2Dyw /Fschtasks /delete /TN 7bZAylWFwu /Fschtasks /delete /TN sRr47NEs9l /Fschtasks /delete /TN p6Mc2efsyB /Fschtasks /delete /TN "\OqpUpVgk" /Fschtasks /delete /TN "\hGKBet" /Fschtasks /delete /TN \Microsoft\Windows\lzjp /Fschtasks /delete /TN "\pwXs" /Fschtasks /delete /TN \Microsoft\Windows\cymdxn /Fschtasks /delete /TN \Microsoft\Windows\vuoj /Fschtasks /delete /TN \Microsoft\Windows\fzary /Fsc config Ddriver start= disabledsc config WebServers start= disablednet stop Ddrivernet stop WebServerstaskkill /im wmiex.exenetsh interface portproxy delete v4tov4 listenport=65532netsh interface portproxy delete v4tov4 listenport=65531netsh advfirewall firewall del rule name=UDP dir=innetsh advfirewall firewall del rule name=UDP2 dir=innetsh advfirewall firewall del rule name=ShareService dir=indel c:\windows\syswow64\wmiex.exe /a:h /fdel c:\windows\system32\wmiex.exe /a:h /fdel C:\Windows\Temp\_MEI5697402\*.* /f /qdel C:\Windows\Temp\m.ps1 /f /qdel C:\Windows\Temp\*.tmp /f /qdel C:\Windows\Temp\*.sqm /f /qdel C:\Windows\Temp\*.vbs /f /qdel C:\Windows\Temp\mkatz.ini /f /qdel C:\Windows\Temp\svchost.exe /f /qdel c:\windows\syswow64\drivers\svchost.exe /a:h /fdel c:\windows\system32\drivers\svchost.exe /a:h /fdel c:\windows\syswow64\drivers\taskmgr.exe /a:h /fdel c:\windows\system32\drivers\svchost.exe /a:h /fdel c:\windows\syswow64\drivers\svchost.exe /a:h /fdel c:\windows\system32\drivers\svchost.exe /a:h /fdel c:\windows\syswow64\drivers\taskmgr.exe /a:h /fdel c:\windows\system32\drivers\svchost.exe /a:h /fREG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver /fREG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers /fschtasks /delete /TN Ddrivers /Fschtasks /delete /TN DnsScan /Fschtasks /delete /TN WebServers /F
3、 除了使用清理脚本自动清理外,还建议最好在本机查看下:
3.1、病毒木马可以利用了系统自带的服务RemComSvc,创建管道横向传播。如果业务不需要该服务,建议停掉。
具体操作命令如下,在cmd中执行即可。
sc config RemComSvc start= disabled
3.2、病毒木马可能会有扫描的smb的445端口,如果业务不需要开放445端口,建议关闭。
关闭命令如下,同样在cmd下运行即可。
ipseccmd -w REG -p “HFUT_SECU” -r “Block TCP/445” -f *+0
TCP -n BLOCK -x
ipseccmd -w REG -p “HFUT_SECU” -r “Block UDP/445” -f *+0UDP -n BLOCK -x
3.3、建议查看相关注册表启动项,看看是否还有可疑启动项。
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
本是古典 何须时尚
你的名字
怼烎@
港控/mmm°
深藏阁楼爱情的钟
系统管理员
还没有评论,来说两句吧...