以防讀者是中招,尋求解決方法的,所以就直接進入主題。
中毒特徵
-
電腦反應遲
-
任務管理器中存在一個名爲
MicrosftEdgeCP.exe
的進程 -
(可能)在任務計劃程序庫中有一項名爲
csapu
的計劃,詳細請看圖(來自金山毒霸):
解決方法
-
如果計劃任務中有上圖的觸發任務,先刪除。
-
進入
C:\Users\Public
刪除紅圈內文件:其中
MicrosftEdgeCP.exe
可能應被使用中,無法刪除。請進入安全模式或PE刪除即可。 -
進入
C:\ProgramData
刪除以下文件:(該目錄是隱藏目錄,怎麼顯示請百度win10查看隱藏目錄)- Officekms.exe
- WinRing0x64.sys
- Gtt.exe
- Go.exe
- Nb.exe
- Office.exe
-
如果電腦有迅雷,可選擇卸載並使用everythin查找和刪除全部的
XLBugReport.exe
文件。(確認查殺病毒後再裝迅雷) -
以防萬一,使用你認爲好的殺軟進行一次系統盤或全盤符查殺。我用的是火絨(版本5.0.41.2,病毒庫2020-03-31)。
檢驗是否查殺成功
將電腦置於低功耗狀態,也就是開機丟在哪裏。查看後臺是否有MicrosftEdgeCP.exe
和出現 CPU 佔用異常等情況。
危害性
由於這個病毒,有利用 永恆之藍 漏洞,進行局域網內傳播的行爲,因此務必儘快查殺,避免感染局域網其他機器。
病毒的一部分文件(可能)能夠通過安全軟件的文件掃描,親測有金山(2020-04-03官網最新版)、火絨(5.0.41.2)。這部份文件在C:\Users\Public
。
金山文章中分析得出病毒使用白加黑手段,用迅雷模塊加載病毒。
尾巴
我中的視乎是已經是變種的了(2020年4月3日),與金山文章分析的有所不同。我沒有查到有相同啓動功能的計劃任務,挖礦程序也變成了是MicrosftEdgeCP.exe
。
對金山文章分析的文件描述再補充:
Officekms.exe 挖礦程序
MicrosftEdgeCP.exe 挖礦程序
WinRing0x64.sys CPU信息檢出
Gtt.exe 挖礦,驅動保護
Go.exe 挖礦,驅動保護
Nb.exe 挖礦程序
Office.exe 橫向傳播,漏洞利用
aaaa.exe 自動解壓的壓縮包包含有永恆之藍傳播腳本,挖礦的使用文件
1 加壓出來的永恆之藍傳播腳本
eh 挖礦的使用文件和everything
病毒存儲網址:http://cs.sslsngyl90.com、https://img.vim-cn.com
相關鏈接: