求助如何彻底清除挖矿病毒

ccboxes

转换下思路吧，如果连火绒的工程师都没看出啥来，是不是内网里一直有机器在入侵该服务器呢？换句话说毒已经杀干净了，只是一直在被入侵执行新的命令。

这种问题最好是能断网解决，还连着公网的话实在难以定位问题。

huml

欧阳宣 发表于 2020-7-17 14:08
那请试试拿必应搜吧 国内版必应就搜得到

顺便劝劝你别用百度了

找了个破解版的，隔离了部分注册表信息，但是问题还是没解决多谢大神

huml

ccboxes 发表于 2020-7-17 15:31
转换下思路吧，如果连火绒的工程师都没看出啥来，是不是内网里一直有机器在入侵该服务器呢？换句话说毒已经 ...

在理，哎，关键这台还是域控服务器，比较头疼。

Wesly.Zhang

huml 发表于 2020-7-17 15:41
在理，哎，关键这台还是域控服务器，比较头疼。

Hello，

用 Process explorer 查看 regsvr32.exe 调用的 父进程 svchost.exe，注意由于有许多 svchost.exe，你需要查看 PID (如图，我这里是 3636) 锁定是哪个 svchost.exe ，然后用 process explorer 查看这个 svchost.exe 的 dll 模块以及 handles ，看看有哪些是非 微软的 Dll 与一些奇怪的 handle路径，逐个检查它们。

落华无痕

话说服务器可以远程？感兴趣想远程看看。
或Autoruns软件分析下启动项，截几个图看看？从你给的图看，中的流氓软件估计就有好几个。这个挖矿病毒估计也是跟流氓软件一样从下载站来的。一般是powershell命令执行。

huml

落华无痕 发表于 2020-7-17 17:21
话说服务器可以远程？感兴趣想远程看看。
或Autoruns软件分析下启动项，截几个图看看？从你给的图看 ...

周一约了看看呗，我QQ381499142

huml

Wesly.Zhang 发表于 2020-7-17 16:05
Hello，

用 Process explorer 查看 regsvr32.exe 调用的 父进程 svchost.exe，注意由于有许多 svchost ...

多谢大神，周一上班试试，有消息联系您。

落华无痕

huml 发表于 2020-7-17 17:31
周一约了看看呗，我QQ381499142

有问题验证加不了。另外你可以重点检查下计划任务（powershell.exe的）、WMI脚本。
其它的安装ms17-010补丁，注册表关闭c$和admin$共享。

wsasecy

岚Azure 发表于 2020-7-17 11:13
可以试试Dr.Web的绿色扫描器，大约一个月前有个人也是用的服务器，我推荐这个给她用，解决了问题。
你可 ...

  这工具可以，用XDown一类的软件下载也不慢的。

帝辛

我怀疑是系统的病毒已经杀完了。内网有程序一直在入侵吧？