|
今天(2017-09-06)上午,有网友告诉我云主机中木马。现在给大家总结下检测、查杀及预防办法。
检测
打开任务管理器,在表头上右键选择“命令行”显示。在进程里列表中可以看到类似以下的进程:
chrome.exe.exe" -a cryptonight -o stratum+tcp://mine.ppxxmr.com:5555 -u 46xRbAMpPT32vBmG3dJnq1dRuFJfWrieVeKqMHPEF45biVdWDfMfq2b3jiSzCGCUfK6AegqWXA4AUTUJktTTB2hq4ZBL5DN -p x
右键选择结束任务,发现结束后马上进程再次启动。
另外该进程占用 CPU 较多。
查杀
进入目录 C:\Users\Administrator
在文件管理器窗口的菜单中选择 “查看” 》 “选项”,在弹出的“文件夹选项”对话框中切换到“查看”标签页,取消“隐藏受保护的操作系统文件”。
- 将 taskhost.exe 删除
- 在任务管理器中将刚才看到的 chrome.exe.exe 进程结束
- 删除:xderver.reg、2.bat、chrome.exe.exe、MZD.bat、r1un.lnk、taskhost.exe、xderver.reg 等文件
- 删除 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\r1un.lnk
预防
目前我们尚不知道中木马的原因,因此根据经验建议大家做以下自检及防护:
- 使用不易被猜测的 TightVNC 密码
- 请勿安装来源不明的软件,尽量从软件官网下载
|
|