使用前一定先创建快照备份,否则不要执行脚本。
1、
将ECS断开网络连接
使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。
2、
脚本的cmd以管理员权限运行。
核心的点:将系统内部非正常的系统文件,杀掉进程;删除文件,删除注册表,删除计划任务,禁止/停止/删除服务。
下述脚本只做参考:
复制下述内容,放到windows系统中,新建一个txt文件保持,然后修改后缀为bat。使用管理员权限进行运行。
木马病毒的文件名、服务名都有可能会发生变化;脚本只是辅助。
taskkill /F /im JVIBH.exe
taskkill /F /im TsRMf.exe
taskkill /F /im 3PwJLGwf.exe
taskkill /F /im oydr2OO6.exe
taskkill /F /im lzjp.exe
taskkill /F /im nIaX.exe
taskkill /F /im kCXsjb.exe
taskkill /F /im cymdxn.exe
taskkill /F /im vuoj.exe
taskkill /F /im mAc4c9GO.exe
taskkill /F /im EsH7Fc5F.exe
taskkill /F /im cMOvRGi9.exe
taskkill /F /im fzary.exe
taskkill /F /im 80EDN6nD.exe
del C:\Windows\JVIBH.exe /a:h /f
del c:\windows\TsRMf.exe /a:h /f
del C:\Windows\3PwJLGwf.exe /a:h /f
del C:\Windows\oydr2OO6.exe /a:h /f
del C:\Windows\TEMP\lzjp.exe /a:h /f
del C:\Windows\nIaX.exe /a:h /f
del c:\windows\kCXsjb.exe /a:h /f
del C:\Windows\TEMP\cymdxn.exe /a:h /f
del C:\Windows\TEMP\vuoj.exe /a:h /f
del C:\Windows\mAc4c9GO.exe /a:h /f
del C:\Windows\EsH7Fc5F.exe /a:h /f
del C:\Windows\cMOvRGi9.exe /a:h /f
del C:\Windows\TEMP\fzary.exe /a:h /f
del C:\Windows\80EDN6nD.exe /a:h /f
schtasks /delete /TN JVIBH /F
schtasks /delete /TN mhLpn85RiQ /F
schtasks /delete /TN IZY8bgnbEO /F
schtasks /delete /TN nIaX /F
schtasks /delete /TN DFPDYg2Dyw /F
schtasks /delete /TN 7bZAylWFwu /F
schtasks /delete /TN sRr47NEs9l /F
schtasks /delete /TN p6Mc2efsyB /F
schtasks /delete /TN "\OqpUpVgk" /F
schtasks /delete /TN "\hGKBet" /F
schtasks /delete /TN \Microsoft\Windows\lzjp /F
schtasks /delete /TN "\pwXs" /F
schtasks /delete /TN \Microsoft\Windows\cymdxn /F
schtasks /delete /TN \Microsoft\Windows\vuoj /F
schtasks /delete /TN \Microsoft\Windows\fzary /F
sc config Ddriver start= disabled
sc config WebServers start= disabled
net stop Ddriver
net stop WebServers
taskkill /im wmiex.exe
netsh interface portproxy delete v4tov4 listenport=65532
netsh interface portproxy delete v4tov4 listenport=65531
netsh advfirewall firewall del rule name=UDP dir=in
netsh advfirewall firewall del rule name=UDP2 dir=in
netsh advfirewall firewall del rule name=ShareService dir=in
del c:\windows\syswow64\wmiex.exe /a:h /f
del c:\windows\system32\wmiex.exe /a:h /f
del C:\Windows\Temp\_MEI5697402\*.* /f /q
del C:\Windows\Temp\m.ps1 /f /q
del C:\Windows\Temp\*.tmp /f /q
del C:\Windows\Temp\*.sqm /f /q
del C:\Windows\Temp\*.vbs /f /q
del C:\Windows\Temp\mkatz.ini /f /q
del C:\Windows\Temp\svchost.exe /f /q
del c:\windows\syswow64\drivers\svchost.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\taskmgr.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\svchost.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\taskmgr.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers /f
schtasks /delete /TN Ddrivers /F
schtasks /delete /TN DnsScan /F
schtasks /delete /TN WebServers /F
3、
除了使用清理脚本自动清理外,还建议最好在本机查看下:
3.1、病毒木马可以利用了系统自带的服务RemComSvc,创建管道横向传播。如果业务不需要该服务,建议停掉。
具体操作命令如下,在cmd中执行即可。
sc config RemComSvc start= disabled
3.2、病毒木马可能会有扫描的smb的445端口,如果业务不需要开放445端口,建议关闭。
关闭命令如下,同样在cmd下运行即可。
ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x
ipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x
3.3、建议查看相关注册表启动项,看看是否还有可疑启动项。
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce