首页
社区
课程
招聘
未解决 [求助]师傅们碰到一个扫描445端口的病毒 10雪币
发表于: 2024-7-23 11:11 1650

未解决 [求助]师傅们碰到一个扫描445端口的病毒 10雪币

2024-7-23 11:11
1650

会发起大量的445请求,通过一些专杀工具也把电脑上的恶意文件都清理了,还是不行。

特征:经常变换扫描程序,有时候是C:\Windows\System32\wuauclt.exe,有时候是msdtc.exe,使用C:\Windows\System32下的程序较多,这些程序扫描的时候父进程都是svchost.exe,但是通过PCHunter对这些进程进行签名校验都没问题,修改时间也是零几年,我也不敢删啊。光把进程杀了,一会又起来了,启动项里面把看着异常的都删了。

因为一些原因无法提供样本。

网上搜到的没说有svchost.exe启动别的进程扫描的,求思路,求内网专杀工具。


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 5198
活跃值: (4057)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
2
这种只是用了svchost.exe的壳,比如远程线程、APC什么的。你这个系统应该有陈旧的SMB漏洞未打补丁。

先用services.msc禁用Server服务,或者

sc config lanmanserver start= disabled
net stop srv

然后重启OS,你们内网应该有其他机器中招了,Wireshark抓包看看
2024-7-24 13:57
0
游客
登录 | 注册 方可回帖
返回
//