針對explorer一鍵挖礦病毒,海青實驗室曾經做過詳細的安全研究分析，讀者可以關注海青實驗室的微信公眾號進行了解。與以往的類似惡意挖礦軟件相比,該病毒有了不小的“進化”:手段更加隱蔽,清除更加困難。為了能夠幫助用戶徹底清除該病毒,我們發布了專項清除工具,您可以通過文末提供的聯系方式獲取。

　　由于該病毒行為多且復雜,在清理過程中使用專項清除工具后需要再人工介入根據實際環境采取相應的措施。

　　32位操作系統使用PsExec.exe,

　　64位操作系統使用PsExec64.exe。

　　接下來我們將對工具使用方法和工具行為進行描述,此處演示64位系統清理過程。

　　清除工具操作步驟:

　　1、使用PsExec64.exe -i -d -s powershell提權至system

　　

 

　　2、彈出system權限的powershell,切換到清除腳本所在的目錄

　　

 

　　3、使用命令

　　powershell.exe -ExecutionPolicy bypass -File clear.ps1

　　運行腳本

　　

 

　　一路回車清除完成。

　　若中間出現紅色字體錯誤,請確認該路徑是否存在。

　　腳本模塊自動完成的工作如下:

　　

 

　　需手動清除的情況

　　·防火墻配置需要根據具體所部署安全策略情況來清除

　　·若是探測到域后門,此處也需要手動清除

　　·手動清除以下任務計劃:Start Service

　　(由于系統中原本可能存在該任務計劃,需要確認是否被修改后再考慮刪除),其運行的命令是否為 "net start cspsvc" ,若是則刪除。

　　·刪除用戶adm

　　確認adm用戶是無人使用且確認為新增賬戶。管理員權限運行cmd,使用命令Net user adm /delete可以刪除該用戶

　　為確保用戶能及時有效地清除挖礦病毒,用戶可以通過以下聯系方式獲取專項清除方案以及必要的人工協助。

　　您可以發郵件至:support@safedog.cn

　　或撥打熱線:400-1000-221

 

　　我們將盡***的努力為您免除安全威脅的困擾!