病毒---手动删除Trojan.Miner.gbq病毒
一、病毒信息
病毒名称:Trojan.Miner.gbq。
病毒类型:挖矿程序,后门,蠕虫。
中毒后表现,电脑会运行大量的exe,名字都很奇怪,都是字母组合,程序的大小都是55KB,会自我复制,无法删除,这些Exe主要出现在 c:\windows\temp和c:\windows这两个目录,同时会生成一个配置文件mkatz.ini,里面全是局域网内的电脑登录密码,而且很占cpu,这个病毒非常恶心。之后在查了许多资料后找到了解决方法,请参考原文链接:https://www.freebuf.com/articles/network/196594.html
二、文件行为
1).下载保存文件到c:\windows\temp\updater.exe,执行后移动到其他位置;
2).移动文件到c:\windows\system32\svhost.exe,并设置隐藏属性;
3).拷贝文件到c:\windows\system32\drivers\svchost.exe,并设置隐藏属性;
4).释放文件到c:\windows\system32\drivers\taskmgr.exe,并设置隐藏属性;
5).释放文件到c:\windows\system32\wmiex.exe,并设置隐藏属性;
6).下载文件到c:\windows\temp\svchost,此文件为永恒之蓝漏洞利用工具;
7).释放文件到c:\windows\temp\m.ps1,此文件为mimikatz密码hash提取工具;
8).释放文件到c:\windows\temp\mkatz.ini,此文件包含提取本机用户的hash值。
注:在Windows64位系统中c:\windows\system32替换为c\windows\SysWOW64;
三、注册表行为
1).添加注册表项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
四、网络行为
1).尝试上传主机信息到http[:]//i.haqo.net;
2).尝试上传主机信息到http[:]//p.abbny.com;
3).尝试上传主机信息到http[:]//o.beahh.com;
4).尝试上传主机信息到http[:]//ii.haqo.net;
5).尝试上传主机信息到http[:]//pp.abbny.com;
6).尝试上传主机信息到http[:]//oo.beahh.com;
7).尝试获取远控指令信息http[:]//i.haqo.net/i.png;
8).尝试获取远控指令信息http[:]//p.abbny.com/im.png;
9).尝试获取远控指令信息http[:]//o.beahh.com/i.png;
10).尝试获取远控指令信息http[:]//ii.haqo.net/u.png;
11).尝试获取远控指令信息http[:]//pp.abbny.com/u.png;
12).尝试获取远控指令信息http[:]//oo.beahh.com/u.png;
五、手工清除方法
1).删除计划任务,结束病毒进程并删除服务:
Ÿ 删除名为Ddrivers和WebServers的计划任务;
Ÿ 删除名为DnsScan的计划任务;
Ÿ 删除名为\Microsoft\Windows\Bluetooths的计划任务;
Ÿ 删除可能存在的计划任务Certificate;
Ÿ 删除可能存在的计划任务Credentials;
Ÿ 结束名为wmiex.exe进程以及描述为“svchost”的svchost进程;(注:通常正常的svchost进程描述为“Windows服务主进程”);
Ÿ 删除名为Ddriver和WebServers的服务项;
2).删除下载和释放的病毒文件,路径如下:
Ÿ c:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat(注:[Username] 替换为当前登录的用户名);
Ÿ c:\Users\[Username]\AppData\Roaming\Microsoft\cred.ps1(注:[Username]替换为当前登录的用户名);
Ÿ c:\programdata\microsoft\cred.ps1;
Ÿ c:\windows\temp\updater.exe;
Ÿ c:\windows\system32\svhost.exe;
Ÿ c:\windows\system32\drivers\svchost.exe;
Ÿ c:\windows\system32\drivers\taskmgr.exe;
Ÿ c:\windows\system32\wmiex.exe;
Ÿ c:\windows\temp\svchost;
Ÿ c:\windows\temp\m.ps1;
Ÿ c:\windows\temp\mkatz.ini;
3).删除病毒创建的注册表项:
Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver;
Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers;
4).删除病毒设置的防火墙栏目:
Ÿ 删除入站规则名为UDP,开放65532端口的规则;
Ÿ 删除入站规则名为UDP2,开放65531端口的规则;
Ÿ 删除入站规则名为ShareService,开放65533端口的规则;
5).删除病毒设置的端口转发的设置
CMD管理员执行如下命令:
Ÿ netsh interface portproxy delete v4tov4 listenport=65531
Ÿ netsh interface portproxy delete v4tov4 listenport=65532
6).最后要在windows下定时任务内删除多有病毒相关的定时任务
病毒---手动删除Trojan.Miner.gbq病毒相关推荐
- sxs.exe病毒手动删除方法
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键--打开 一.关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母 ...
- 删除后缀Phobos勒索病毒 还原Phobos勒索病毒感染的计算机
后缀Phobos勒索病毒的分发 PHOBOS勒索病毒是一种破坏性的加密病毒,最近在针对全球计算机用户的***活动中发布.威胁行为者可能正在利用广泛使用的分发策略来感染计算机系统. PHOBOS勒索病毒 ...
- .fire勒索病毒如何删除 .fire后缀文件恢复(Dharma)
本文解释了.fire勒索病毒出现的问题,并提供了有关如何删除恶意文件以及如何可能恢复此勒索软件加密的文件的详细指南. 最近安全研究员发现了一个名为.fire的勒索病毒.此威胁会感染某些主要系统设置,以 ...
- .Bear勒索病毒如何删除它 .Bear后缀文件如何恢复(Dharma家族)
本文解释了.Bear勒索病毒感染时出现的问题,并提供了有关如何删除恶意文件以及如何可能恢复此勒索软件加密的文件的详细指南. 一个名为.Bear病毒的被发现.正如安全研究人员所确认的那样,它是一种臭名昭 ...
- Phobos家族后缀.actin勒索病毒变体详细说明,删除后缀.actin勒索病毒并尝试恢复文件
什么是.actin?什么是后缀.actin勒索病毒病毒?如何删除Phobos.actin勒索病毒并尝试恢复.actin加密文件? 最近检测到了Phobos勒索病毒的新变种使用.actin文件扩展名.P ...
- .crypted_bizarrio@pay4me _in后缀勒索病毒如何删除 + 文件恢复
本文将帮助您完全删除.crypted_bizarrio@pay4me_in病毒.按照最后给出的勒索软件删除说明进行操作. 该.crypted_bizarrio@pay4me_in病毒是勒索软件的名称是 ...
- 删除China Lucky系列病毒 后缀.evopro勒索病毒数据恢复方法,解密处理方式
China Lucky系列,也称为.evopro后缀勒索病毒将加密您的数据,并要求金钱作为赎金,以恢复它.文件将作为辅助文件接收.evopro扩展名,而不对加密文件的原始名称进行任何更改.该.evop ...
- autorun.inf sxs.exe病毒手动解决方法
autorun.inf sxs.exe病毒手动解决方法 一.确认中已中此病毒: 依次执行 开始--运行--输入"cmd"--输入"X:"(X为盘符可以是D盘,可 ...
- 优盘中发现计算机病毒怎么办,U盘插入电脑中发现autorun.inf病毒怎么删除
U盘以及成为大家生活中不可缺少的一部分了,我们在使用电脑过程中经常会浏览或下载文件,这样很容易让U盘感染病毒,其中有一种就是autorun.inf,它能通过U盘给电脑中的其他磁盘带来病毒,从而破 ...
最新文章
- 七牛云 直播 java_七牛云直播SDK之推流解析
- 台积电新工艺路线图披露:7nm最快明年4月试产
- windows下mongodb安装与使用整理
- 单片机备用电池供电电路_第五节(重排) 电子入门 复位电路
- “约见”面试官系列之常见面试题之第九十六篇之active-class是谁的属性(建议收藏)
- ansible的参数及常用模块
- 马化腾回应“腾讯没有梦想”;抖音用户破 2 亿;罗永浩微博打假 | 极客头条...
- EmbeddedBrowser
- softmax回归的从零开始实现
- dojo动态创建widget
- php不包含_php 正则 不包含某字符串的正则表达式
- Qt源码在VC环境下编译(以VC14下Qt5.9.1和Qt5.4.0为例,包含icu和QtWebkit模块)
- 虚拟签到拍照打卡技巧,超实在的教程
- Scrapy-2:东莞阳光政务平台
- 美团O2O广告营销中的机器学习技术
- 好用的影子系统软件,系统辅助工具
- 《黑客帝国 THE MATRIX》——当你生活在代码的虚拟世界中
- 苹果原装转接头不能连html,转载 苹果官方告诉你如何识别真假数据线转接器
- xcopy 跳过已经存在的_视频课怎么区分数学一二三?考研英语怎么复习?恋练有词句子部分直接跳过?...
- Hadoop-HDFS总结(五)
热门文章
- 如何从Google迁移到Amazon应用内购买
- Linux Command tc 模拟网络延迟和丢包
- enable 华为交换机ntdp_华为交换机设置
- 退役感言 [Away From OI]
- 实战 | flink sql 实时 TopN
- Cris 学 SpringMVC(二):使用 servlet 原生 api 作为方法入参
- 计算机组成原理---冯诺依曼体系结构及性能和功耗
- android电话本导入iphone,换手机之后安卓通讯录怎么导入iphone手机
- 小散量化炒股记|基于多任务爬虫技术, 实现A股实时行情Level1采样
- 最好用的房屋租赁软件(租赁行业)