天下不败【电脑维护论坛】

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 115|回复: 1

K8H3D病毒

[复制链接]
  • TA的每日心情
    开心
    2019-5-5 10:06
  • 12

    主题

    102

    帖子

    2504

    积分

    金牌会员

    Rank: 6Rank: 6

    积分
    2504
    QQ
    发表于 2019-4-26 12:18:51 | 显示全部楼层 |阅读模式
    症状:
    1、此病毒会创建K8H3D用户,目前发现只攻击安装sql server的机器
    2、创建计划任务Ddriver3、webservice、autoscan、auto..等
    3、创建几个服务Ddriver3、webservice以及部分四个字母的服务名


    处理步骤:
    1、发现有电脑服务器中此病毒,需抓紧断开网络,因为此病毒会扫描局域网并攻击其他机器。登录电脑,如果只有K8H3D,进入安全模式登录administrator,删掉此用户
    2、进入C盘,删掉一个in开头的exe,没有的话就不用管了。打开显示隐藏文件。
    3、查看:c/windows/system32/svhost、c/windows/temp/svchost、C:\Windows\System32\drivers\svchost、C:\Windows\System32\drivers\taskmgr,C:\Windows\System32\drivers\wmiex,win7下C:\Windows\SysWOW64\svchost、C:\Windows\SysWOW64\drivers\svchost、C:\Windows\SysWOW64\drivers\taskmgr 这些全都是病毒文件,这里可以先不用删,因为会删不掉
    4、进计划任务,会看到指向上面的文件的定时脚本,停止并删除。win7在“计划任务程序库/windows”下会有一个bluetooth(貌似是这个名称,记不清楚了)定时脚本,一样删掉。
    5、去任务管理器,如果有cmd.exe进程全部关掉,svchost进程全部关掉,如果出现一分钟后关机,在运行执行:shutdown -a
    6、删除步骤三的全部文件
    7、去注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删掉可疑注册表选项
    8、去防火墙,例外中 删掉病毒开启的65531 32 33端口(名称是DNS。。。之类)
    9、最后去服务里面删掉可以服务。点击”描述“,病毒创建的服务都没有描述(除了webservice),从属性查看指向的运行文件,都是步骤三中的文件,固定名称的有Ddriver、webservice,先右键停掉服务,并禁止启动,用cmd执行sc delete 服务名即可删掉相关服务
    最后修改sql server的sa密码,用sql server management studio,重新用Window验证方式登陆,在左边的树结构中选择“数据库”下面的“安全性”选项—>登录名—>sa,右键属性—>在“SQLServer身份验证”中输入要设置的sa密码。
    net share后的c$、admin$必须删除掉。还有端口转发:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PortProxy
    关于你说的结束svchost.exe,可以查看选择列里勾选路径或命令行,这样可以选择异常路径的svchost.exe结束。
    最后暂时屏蔽445端口,打上ms17-010补丁。个别ghost win7系统打补丁后可能进不去系统,建议准备个u盘,写入微PE,出问题后U盘PE启动,dism++卸载补丁。然后考虑先安装KB947821,再安装ms17-010
    回复

    使用道具 举报

  • TA的每日心情
    开心
    5 小时前
  • 1

    主题

    35

    帖子

    2397

    积分

    金牌会员

    Rank: 6Rank: 6

    积分
    2397
    发表于 2019-4-27 12:44:11 | 显示全部楼层
    学习学习,领先领先
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|Archiver|手机版|小黑屋|天下不败【电脑维护论坛】

    GMT+8, 2019-6-19 22:42 , Processed in 0.050879 second(s), 22 queries .

    Powered by Discuz! X3.4

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表