Windows系统被入侵后处理方式介绍

简介: 使用前一定先创建快照备份,否则不要执行脚本。 1、将ECS断开网络连接 使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。 2、脚本的cmd以管理员权限运行。


使用前一定先创建快照备份,否则不要使用本文方法。


1、 将ECS断开网络连接
使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。
2、 脚本的cmd以管理员权限运行。
核心的点:将系统内部非正常的系统文件,杀掉进程;删除文件,删除注册表,删除计划任务,禁止/停止/删除服务。

下述脚本只做参考:
复制下述内容,放到windows系统中,新建一个txt文件保持,然后修改后缀为bat。使用管理员权限进行运行。
木马病毒的文件名、服务名都有可能会发生变化;脚本只是辅助。
taskkill /F /im JVIBH.exe
taskkill /F /im TsRMf.exe
taskkill /F /im 3PwJLGwf.exe
taskkill /F /im oydr2OO6.exe
taskkill /F /im lzjp.exe
taskkill /F /im nIaX.exe
taskkill /F /im kCXsjb.exe
taskkill /F /im cymdxn.exe
taskkill /F /im vuoj.exe
taskkill /F /im mAc4c9GO.exe
taskkill /F /im EsH7Fc5F.exe
taskkill /F /im cMOvRGi9.exe
taskkill /F /im fzary.exe
taskkill /F /im 80EDN6nD.exe
del C:\Windows\JVIBH.exe /a:h /f
del c:\windows\TsRMf.exe /a:h /f
del C:\Windows\3PwJLGwf.exe /a:h /f
del C:\Windows\oydr2OO6.exe /a:h /f
del C:\Windows\TEMP\lzjp.exe /a:h /f
del C:\Windows\nIaX.exe /a:h /f
del c:\windows\kCXsjb.exe /a:h /f
del C:\Windows\TEMP\cymdxn.exe /a:h /f
del C:\Windows\TEMP\vuoj.exe /a:h /f
del C:\Windows\mAc4c9GO.exe /a:h /f
del C:\Windows\EsH7Fc5F.exe /a:h /f
del C:\Windows\cMOvRGi9.exe /a:h /f
del C:\Windows\TEMP\fzary.exe /a:h /f
del C:\Windows\80EDN6nD.exe /a:h /f
schtasks /delete /TN JVIBH /F
schtasks /delete /TN mhLpn85RiQ /F
schtasks /delete /TN IZY8bgnbEO /F
schtasks /delete /TN nIaX /F
schtasks /delete /TN DFPDYg2Dyw /F
schtasks /delete /TN 7bZAylWFwu /F
schtasks /delete /TN sRr47NEs9l /F
schtasks /delete /TN p6Mc2efsyB /F
schtasks /delete /TN "\OqpUpVgk" /F
schtasks /delete /TN "\hGKBet" /F
schtasks /delete /TN \Microsoft\Windows\lzjp /F
schtasks /delete /TN "\pwXs" /F
schtasks /delete /TN \Microsoft\Windows\cymdxn /F
schtasks /delete /TN \Microsoft\Windows\vuoj /F
schtasks /delete /TN \Microsoft\Windows\fzary /F
sc config Ddriver start= disabled
sc config WebServers start= disabled
net stop Ddriver
net stop WebServers
taskkill /im wmiex.exe
netsh interface portproxy delete v4tov4 listenport=65532
netsh interface portproxy delete v4tov4 listenport=65531
netsh advfirewall firewall del rule name=UDP dir=in
netsh advfirewall firewall del rule name=UDP2 dir=in
netsh advfirewall firewall del rule name=ShareService dir=in
del c:\windows\syswow64\wmiex.exe /a:h /f
del c:\windows\system32\wmiex.exe /a:h /f
del C:\Windows\Temp\_MEI5697402\*.* /f /q
del C:\Windows\Temp\m.ps1 /f /q
del C:\Windows\Temp\*.tmp /f /q
del C:\Windows\Temp\*.sqm /f /q
del C:\Windows\Temp\*.vbs /f /q
del C:\Windows\Temp\mkatz.ini /f /q
del C:\Windows\Temp\svchost.exe /f /q
del c:\windows\syswow64\drivers\svchost.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\taskmgr.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\svchost.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
del c:\windows\syswow64\drivers\taskmgr.exe /a:h /f
del c:\windows\system32\drivers\svchost.exe /a:h /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers /f
schtasks /delete /TN Ddrivers /F
schtasks /delete /TN DnsScan /F
schtasks /delete /TN WebServers /F



3、 除了使用清理脚本自动清理外,还建议最好在本机查看下:

3.1、病毒木马可以利用了系统自带的服务RemComSvc,创建管道横向传播。如果业务不需要该服务,建议停掉。

具体操作命令如下,在cmd中执行即可。

sc config RemComSvc start= disabled


3.2、病毒木马可能会有扫描的smb的445端口,如果业务不需要开放445端口,建议关闭。

关闭命令如下,同样在cmd下运行即可。

ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x

ipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x


3.3、建议查看相关注册表启动项,看看是否还有可疑启动项。

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce

目录
相关文章
|
2月前
|
Windows
如何查看自己电脑的windows系统版本?
这篇文章提供了一种简单快捷的方法来查看自己电脑的Windows系统版本,通过使用Windows的"运行"功能并输入`winver`命令来快速获取系统版本信息。
如何查看自己电脑的windows系统版本?
|
5天前
|
Linux Windows
Windows系统批量创建文件夹的技巧
Windows系统批量创建文件夹的技巧
13 1
|
8天前
|
监控 网络安全 Windows
Windows系统命令
Windows系统命令
13 1
|
8天前
|
Windows
在Windows xp中即时创建系统还原点的秘技
在Windows xp中即时创建系统还原点的秘技
|
1月前
|
存储 Web App开发 调度
Windows系统新手教程:常见操作命令帮你玩转电脑
Windows系统新手教程:常见操作命令帮你玩转电脑
73 5
|
1月前
|
Linux 网络虚拟化 Windows
ccproxy windows上用的代理软件(类似linux系统上的squid)
ccproxy windows上用的代理软件(类似linux系统上的squid)
|
2月前
|
安全 Windows
【Azure 云服务】当Windows系统发布新的安全漏洞后,如何查看Azure云服务(Cloud Service)的实例是否也更新了安全补丁呢?
【Azure 云服务】当Windows系统发布新的安全漏洞后,如何查看Azure云服务(Cloud Service)的实例是否也更新了安全补丁呢?
|
2月前
|
消息中间件 Java Kafka
【Azure 事件中心】在Windows系统中使用 kafka-consumer-groups.bat 查看Event Hub中kafka的consumer groups信息
【Azure 事件中心】在Windows系统中使用 kafka-consumer-groups.bat 查看Event Hub中kafka的consumer groups信息
|
2月前
|
存储 安全 网络安全
【Azure 环境】使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢(Microsoft Antimalware)?
【Azure 环境】使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢(Microsoft Antimalware)?
|
2月前
|
存储 Linux 数据中心
【Azure 环境】在Windows系统中 使用Terraform创建中国区Azure资源步骤(入门级)
【Azure 环境】在Windows系统中 使用Terraform创建中国区Azure资源步骤(入门级)
下一篇
无影云桌面