weixin_30865427 于 2019-09-19 12:06:00 发布方案一:重装系统
为了快速恢复办公系统安全,不影响后期的办公/生产。对重装系统环境不影响目前办公/生产的设备环境,建议批量重装系统,快速无危害办公/生产系统环境。
方案二:木马清除
安装Mcafee终端,并更新最新病毒特征库;利用Mcafee终端进行全盘查杀,实现木马清除。
利用微步自研工具findvirus_old,将报警恶意域名放置到findvirus_old目录下的virus.txt中的 $a1 = "恶意域名",保存virus.txt,运行同目录下的findvirus.exe,定位系统进程内存中存在恶意域名的可疑进程映像路径和PID。
利用微软取证工具包(SysInternalSuite)中的procexp.exe找到findvirus.exe定位到的进程名称,进行排查确定木马进程。
通过定位到木马进程映像路径目录,找到与木马同大小(本次是Python程序图标)文件和m2.ps1文件。
利用微软取证工具包(SysInternalSuite)中的autoruns.exe,通过木马进程名称查找匹配找到关联的服务项,删除相关注册表相,任务计划表中,名称不规则,映像路径为Windows目录的服务也无需要结合4研判是否查杀。本次木马是在task目录下的创建任务计划方式实现长期自启动。具备感染源的设备,同时,在任务计划列表中创建隐藏任务计划Bluetool项,实现在每日9:00后,每50分钟重启一次。
