标签:terminal asp anti trace dia 服务 com ted 端口
1、病毒现象
(1)、文件特征
C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
C:\Windows\System32\TrustedHostex.exe
在以上这些目录中存在svchost.exe、spoolsv.exe、svchost.xml、x86.dll/x64.dll、MarsTraceDiagnostics.xml、snmpstorsrv.dll等文件。
(2)、中毒主机对同网段主机有大量445连接。
2、病毒处置
(1)、使用autoruns.exe删掉病毒主服务srv,检查开机启动项和计划任务项。
(2)、删除上述文件夹中的病毒文件并关闭病毒进程。
(3)、使用SfabAntiBot.exe进行全盘查杀。下载地址: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
(4)、关闭135,137,139,445网络共享端口
(5)、打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应系统的漏洞补丁https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
3、病毒详情
https://www.freebuf.com/articles/terminal/190093.html
标签:terminal asp anti trace dia 服务 com ted 端口
原文地址:https://www.cnblogs.com/yyxianren/p/12380339.html