【更新】内网电脑中木马病毒了,病毒样本已上传~~~~
本帖最后由 Jacky9771 于 2020-6-30 13:23 编辑下午同事跑来说,内网服务器上的共享文件夹ABC里啥也没有了。
我黑死了,赶紧登录上去看了下。
共享文件夹ABC里只有一个LINK快捷方式,但看整个盘,文件应该还在。
进CMD, DIR/AH, 果然在该共享目录ABC下面有个隐藏的AUTORUN.INF 和一个“_”文件夹。
所有文件都在“_”文件夹里。
现在情况是,把文件一拷贝到此ABC目录,文件就自动被拷贝到“_”文件夹里了。
把AUTORUN.INF和link快捷方式两个文件删除,立即自动生成。
在“_”文件夹里有一个 几百K的 名叫 DeviceManager.exe应用程序,将其删除后,立即自动生成同名文件。
现在用360杀毒和火绒5.0 都分别安装并进行了查杀。
火绒5.0对DeviceManager.exe 进行了报毒, 叫什么 混淆代码生成器
其余的就没法处理了。
因为一查杀,DeviceManager.exe就又生成了。
然后卸载, 安装360杀毒并进行查杀。
360对 DeviceManager.exe 报毒为 QVM10.2.0EDF.Malware.Gen
对link文件 报毒 为virus.lnk.vbsworm.b
见图:
查杀后,还是杀不干净。
感觉应该是真正的病毒文件并没有检测到。
下班前,用360在进行全盘查杀, 明天早上看结果。但感觉 应该是 处理不干净。
因为是内网感染的,无法使用移动存储,病毒样本只有明天才能想办法提出来。
BAIDU上搜索了半天, 这两个病毒都不是新出来的,但是一直没有搜索到真正管用的解决办法 ,一说就是格式全盘,重新安装操作系统之类的。
特发帖求助大佬们,有谁遇到过类似病毒,怎么处置的。
更新:
昨天把内网断了,全部内网更新360杀毒离线包到最新版,对客户机和服务器全部进行了查杀,当时感觉是解决了,但是今天又出现了。。。。。。。。。。
病毒样本现上传了,我看有火绒等专业公司的账号在论坛,还烦请查看下,能不能出个专杀工具或具体解决方案之类的。
病毒样本:
https://wwe.lanzouj.com/iPeuIe68sef
解压密码: 52pojie
截图是服务器上的目录 。
那个“_” 目录、快捷方式 , AUTORUN.INF 就是病毒自动生成的, 把文件都移动到 “_” 目录,但唯独保留了“2020年度” 这个目录 ,有可能当时有人在使用文件吧。
那个快捷方式无法复制和压缩出来。
对了,服务器是 WIN SERVER 2008 R2 正版 在 VMWAREVSPHERE的虚拟机里运行的。
怎么悬赏, 我好像没有把这功能搞会????
快下载卡巴斯基,杀一下,没有病毒能逃得过的,360,国产病毒都是渣 格盘能解决100%问题 怀疑一下内网其他设备传染,断网杀毒,不行就安全模式下杀毒,再不行就联系火绒,有免费的技术指导,或者到360论坛求助技术指导 1、禁止所有启动项重启系统杀毒
2、重启系统以安全模式启动查杀
360用系统急救箱强力模式试试,好像是叫这个来着 内网中毒是常事儿!尤其是像我这样裸奔的又保密又不能连外网的!教你一个简单的绝招!你在你ABC文件名后加特殊字符 ♡,它就隐藏不了了,本人一直在用,当然,根本解决办法还是要全网杀毒,全部内网链接的电脑都要杀。。。一点愚见! lnk不是快捷键嘛?那就用火绒找到那个.exe生成的根目录在哪呀 360启动项查看 禁用掉再重启慢慢杀 这种应该问题不大。先按断网和3楼的办,不行的话,关键就是系统外进行查杀。就是不要启动本系统。既然是内网,当然还得全网检查,以防再度感染。