這陣子花時間處理自己電腦問題,重灌多次和更換硬體均未改善!
今天才發現我桌機應該是SMB漏洞而感染挖礦病毒,電腦CPU執行緒使用量會異常地衝高,一開工作管理員會自動隱藏,關閉工作管理員頁面時又會啟動。
由於內建防毒無法完全斬草除根

1.jpg

2.jpg

3.jpg

於是照著PTT高人的方法

防毒擋下疑似綁架病毒的東西
https://www.ptt.cc/bbs/AntiVirus/M.1495815058.A.883.html

WanaCrypt0r 2.0 大規模攻擊漏洞系統
https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html

這張是detect_doublepulsar_smb自我檢測是否有更新漏洞的圖片

SMB.jpg

 

挖礦偵測解法步驟:
1.下載微軟 Autoruns
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

把WMI的 fuckyoumm2_consumer腳本刪掉
(名稱可能不同  注意異常標示的非系統項目)

再把工作排程 Mysa 刪掉(名稱可能不同就檢查執行內容)
順便檢查啟動項目有沒有怪東西?

2.下載微軟 Process Explorer
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

檢查程序中有沒有 rundll32.exe 掛載 item.dat 或lsmo.exe 把它kill掉
並檢查 c:\windows\debug\ 刪除 item.dat或lsmo.exe(名稱可能不同就檢查執行內容)

WanaCrypt0r2.0勒索病毒防範作法
https://osa.nfu.edu.tw/WannaCry/

學校網址有關閉SMB機制和擋掉445 port攻擊的執行檔

有類似CPU執行緒使用量會異常地衝高症狀的記得檢查!

如果我沒玩遊戲的話,都不會想到中挖礦程式,因為電腦執行程式或其他動作都沒出什麼大問題= =

arrow
arrow
    全站熱搜

    chunju 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄