自己電腦中挖礦病毒@ 小彭的網路日誌:: 痞客邦 | 挖礦病毒清除
這陣子花時間處理自己電腦問題,重灌多次和更換硬體均未改善!今天才發現我桌機應該是SMB漏洞而感染挖礦病毒,電腦CPU執行緒使用量會異常地衝高,一開工作管理員會自動隱藏,關閉工作管理員頁面時又會啟動。由於內建防毒無法完全斬草除根於是照著PTT高人的方法防毒擋下疑似綁架病毒的東西https://www.ptt.cc/bbs/AntiVirus/M.1495815058.A.883.html[1]WanaCrypt0r2.0大規模攻擊漏洞系統https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html[2]這張是detect_doublepulsar_smb自我檢測是否有更新漏洞的圖片 挖礦偵測解法步驟:1....
這陣子花時間處理自己電腦問題,重灌多次和更換硬體均未改善!今天才發現我桌機應該是SMB漏洞而感染挖礦病毒,電腦CPU執行緒使用量會異常地衝高,一開工作管理員會自動隱藏,關閉工作管理員頁面時又會啟動。由於內建防毒無法完全斬草除根
於是照著PTT高人的方法
防毒擋下疑似綁架病毒的東西https://www.ptt.cc/bbs/AntiVirus/M.1495815058.A.883.html[1]
WanaCrypt0r 2.0 大規模攻擊漏洞系統https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html[2]
這張是detect_doublepulsar_smb自我檢測是否有更新漏洞的圖片
挖礦偵測解法步驟:1.下載微軟 Autorunshttps://docs.microsoft.com/en-us/sysinternals/downloads/autoruns[3]
把WMI的 fuckyoumm2_consumer腳本刪掉(名稱可能不同 注意異常標示的非系統項目)
再把工作排程 Mysa 刪掉(名稱可能不同就檢查執行內容)順便檢查啟動項目有沒有怪東西?
2.下載微軟 Process Explorerhttps://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer[4]
檢查程序中有沒有 rundll32.exe 掛載 item.dat 或lsmo.exe 把它kill掉並檢查 c:windowsdebug 刪除 item.dat或lsmo.exe(名稱可能不同就檢查執行內容)
WanaCrypt0r2.0勒索病毒防範作法https://osa.nfu.edu.tw/WannaCry/[5]
學校網址有關閉SMB機制和擋掉445 port攻擊的執行檔
有類似CPU執行緒使用量會異常地衝高症狀的記得檢查!...