病毒---手动删除Trojan.Miner.gbq病毒

一、病毒信息

病毒名称：Trojan.Miner.gbq。

病毒类型：挖矿程序，后门，蠕虫。

中毒后表现，电脑会运行大量的exe，名字都很奇怪，都是字母组合，程序的大小都是55KB，会自我复制，无法删除，这些Exe主要出现在 c:\windows\temp和c:\windows这两个目录，同时会生成一个配置文件mkatz.ini，里面全是局域网内的电脑登录密码，而且很占cpu，这个病毒非常恶心。之后在查了许多资料后找到了解决方法，请参考原文链接：https://www.freebuf.com/articles/network/196594.html

二、文件行为

1).下载保存文件到c:\windows\temp\updater.exe，执行后移动到其他位置；

2).移动文件到c:\windows\system32\svhost.exe，并设置隐藏属性；

3).拷贝文件到c:\windows\system32\drivers\svchost.exe，并设置隐藏属性；

4).释放文件到c:\windows\system32\drivers\taskmgr.exe，并设置隐藏属性；

5).释放文件到c:\windows\system32\wmiex.exe，并设置隐藏属性；

6).下载文件到c:\windows\temp\svchost，此文件为永恒之蓝漏洞利用工具；

7).释放文件到c:\windows\temp\m.ps1，此文件为mimikatz密码hash提取工具；

8).释放文件到c:\windows\temp\mkatz.ini，此文件包含提取本机用户的hash值。

注：在Windows64位系统中c:\windows\system32替换为c\windows\SysWOW64；

三、注册表行为

1).添加注册表项：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers

四、网络行为

1).尝试上传主机信息到http[:]//i.haqo.net；

2).尝试上传主机信息到http[:]//p.abbny.com；

3).尝试上传主机信息到http[:]//o.beahh.com；

4).尝试上传主机信息到http[:]//ii.haqo.net；

5).尝试上传主机信息到http[:]//pp.abbny.com；

6).尝试上传主机信息到http[:]//oo.beahh.com；

7).尝试获取远控指令信息http[:]//i.haqo.net/i.png；

8).尝试获取远控指令信息http[:]//p.abbny.com/im.png；

9).尝试获取远控指令信息http[:]//o.beahh.com/i.png；

10).尝试获取远控指令信息http[:]//ii.haqo.net/u.png；

11).尝试获取远控指令信息http[:]//pp.abbny.com/u.png；

12).尝试获取远控指令信息http[:]//oo.beahh.com/u.png；

五、手工清除方法

1).删除计划任务，结束病毒进程并删除服务：

Ÿ 删除名为Ddrivers和WebServers的计划任务；

Ÿ 删除名为DnsScan的计划任务；

Ÿ 删除名为\Microsoft\Windows\Bluetooths的计划任务；

Ÿ 删除可能存在的计划任务Certificate；

Ÿ 删除可能存在的计划任务Credentials；

Ÿ 结束名为wmiex.exe进程以及描述为“svchost”的svchost进程；（注：通常正常的svchost进程描述为“Windows服务主进程”）；

Ÿ 删除名为Ddriver和WebServers的服务项；

2).删除下载和释放的病毒文件，路径如下：

Ÿ c:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat(注:[Username] 替换为当前登录的用户名)；

Ÿ c:\Users\[Username]\AppData\Roaming\Microsoft\cred.ps1(注:[Username]替换为当前登录的用户名)；

Ÿ c:\programdata\microsoft\cred.ps1；

Ÿ c:\windows\temp\updater.exe；

Ÿ c:\windows\system32\svhost.exe；

Ÿ c:\windows\system32\drivers\svchost.exe；

Ÿ c:\windows\system32\drivers\taskmgr.exe；

Ÿ c:\windows\system32\wmiex.exe；

Ÿ c:\windows\temp\svchost；

Ÿ c:\windows\temp\m.ps1；

Ÿ c:\windows\temp\mkatz.ini；

3).删除病毒创建的注册表项：

Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver；

Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers；

4).删除病毒设置的防火墙栏目：

Ÿ 删除入站规则名为UDP，开放65532端口的规则；

Ÿ 删除入站规则名为UDP2，开放65531端口的规则；

Ÿ 删除入站规则名为ShareService，开放65533端口的规则；

5).删除病毒设置的端口转发的设置

CMD管理员执行如下命令：

Ÿ netsh interface portproxy delete v4tov4 listenport=65531

Ÿ netsh interface portproxy delete v4tov4 listenport=65532

6).最后要在windows下定时任务内删除多有病毒相关的定时任务