以防读者是中招,寻求解决方法的,所以就直接进入主题。
中毒特征
-
电脑反应迟
-
任务管理器中存在一个名为
MicrosftEdgeCP.exe的进程 -
(可能)在任务计划程序库中有一项名为
csapu的计划,详细请看图(来自金山毒霸):![在这里插入图片描述]()
解决方法
-
如果计划任务中有上图的触发任务,先删除。
-
进入
C:\Users\Public删除红圈内文件:![在这里插入图片描述]()
其中
MicrosftEdgeCP.exe可能应被使用中,无法删除。请进入安全模式或PE删除即可。 -
进入
C:\ProgramData删除以下文件:(该目录是隐藏目录,怎么显示请百度win10查看隐藏目录)- Officekms.exe
- WinRing0x64.sys
- Gtt.exe
- Go.exe
- Nb.exe
- Office.exe
-
如果电脑有迅雷,可选择卸载并使用everythin查找和删除全部的
XLBugReport.exe文件。(确认查杀病毒后再装迅雷) -
以防万一,使用你认为好的杀软进行一次系统盘或全盘符查杀。我用的是火绒(版本5.0.41.2,病毒库2020-03-31)。
检验是否查杀成功
将电脑置于低功耗状态,也就是开机丢在哪里。查看后台是否有MicrosftEdgeCP.exe 和出现 CPU 占用异常等情况。
危害性
由于这个病毒,有利用 永恒之蓝 漏洞,进行局域网内传播的行为,因此务必尽快查杀,避免感染局域网其他机器。
病毒的一部分文件(可能)能够通过安全软件的文件扫描,亲测有金山(2020-04-03官网最新版)、火绒(5.0.41.2)。这部份文件在C:\Users\Public。
金山文章中分析得出病毒使用白加黑手段,用迅雷模块加载病毒。
尾巴
我中的视乎是已经是变种的了(2020年4月3日),与金山文章分析的有所不同。我没有查到有相同启动功能的计划任务,挖矿程序也变成了是MicrosftEdgeCP.exe。
对金山文章分析的文件描述再补充:
Officekms.exe 挖矿程序
MicrosftEdgeCP.exe 挖矿程序
WinRing0x64.sys CPU信息检出
Gtt.exe 挖矿,驱动保护
Go.exe 挖矿,驱动保护
Nb.exe 挖矿程序
Office.exe 横向传播,漏洞利用
aaaa.exe 自动解压的压缩包包含有永恒之蓝传播脚本,挖矿的使用文件
1 加压出来的永恒之蓝传播脚本
eh 挖矿的使用文件和everything
病毒存储网址:http://cs.sslsngyl90.com、https://img.vim-cn.com
相关链接: