針對(duì)explorer一鍵挖礦病毒,海青實(shí)驗(yàn)室曾經(jīng)做過(guò)詳細(xì)的安全研究分析，讀者可以關(guān)注海青實(shí)驗(yàn)室的微信公眾號(hào)進(jìn)行了解。與以往的類似惡意挖礦軟件相比,該病毒有了不小的“進(jìn)化”:手段更加隱蔽,清除更加困難。為了能夠幫助用戶徹底清除該病毒,我們發(fā)布了專項(xiàng)清除工具,您可以通過(guò)文末提供的聯(lián)系方式獲取。

　　由于該病毒行為多且復(fù)雜,在清理過(guò)程中使用專項(xiàng)清除工具后需要再人工介入根據(jù)實(shí)際環(huán)境采取相應(yīng)的措施。

　　32位操作系統(tǒng)使用PsExec.exe,

　　64位操作系統(tǒng)使用PsExec64.exe。

　　接下來(lái)我們將對(duì)工具使用方法和工具行為進(jìn)行描述,此處演示64位系統(tǒng)清理過(guò)程。

　　清除工具操作步驟:

　　1、使用PsExec64.exe -i -d -s powershell提權(quán)至system

　　

 

　　2、彈出system權(quán)限的powershell,切換到清除腳本所在的目錄

　　

 

　　3、使用命令

　　powershell.exe -ExecutionPolicy bypass -File clear.ps1

　　運(yùn)行腳本

　　

 

　　一路回車清除完成。

　　若中間出現(xiàn)紅色字體錯(cuò)誤,請(qǐng)確認(rèn)該路徑是否存在。

　　腳本模塊自動(dòng)完成的工作如下:

　　

 

　　需手動(dòng)清除的情況

　　·防火墻配置需要根據(jù)具體所部署安全策略情況來(lái)清除

　　·若是探測(cè)到域后門(mén),此處也需要手動(dòng)清除

　　·手動(dòng)清除以下任務(wù)計(jì)劃:Start Service

　　(由于系統(tǒng)中原本可能存在該任務(wù)計(jì)劃,需要確認(rèn)是否被修改后再考慮刪除),其運(yùn)行的命令是否為 "net start cspsvc" ,若是則刪除。

　　·刪除用戶adm

　　確認(rèn)adm用戶是無(wú)人使用且確認(rèn)為新增賬戶。管理員權(quán)限運(yùn)行cmd,使用命令Net user adm /delete可以刪除該用戶

　　為確保用戶能及時(shí)有效地清除挖礦病毒,用戶可以通過(guò)以下聯(lián)系方式獲取專項(xiàng)清除方案以及必要的人工協(xié)助。

　　您可以發(fā)郵件至:support@safedog.cn

　　或撥打熱線:400-1000-221

 

　　我們將盡***的努力為您免除安全威脅的困擾!