同事电脑接收到社区发送文件,文件含有木马注入程序,注入后潜伏了约2个月,
直到8月23日木马开始操作电脑自动打开微信,同事发现后立刻关闭电脑,
我打开电脑后木马进入潜伏状态,我发现电脑已安装360(360也非同事安装),
但360并无任何反应,使用360扫描后确实发现病毒并进行了清除,
但是8月26日上班后发现依然有病毒后台留存,并持续向202.189.9.221:8237发送消息,
为了防止公司大范围中病毒,公司网关已添加该地址禁止通信,
使用某软件进行监控后发现是:
C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
C:\Windows\SysWOW64\winrdlv3.exe
两个伪装程序仍在持续发送消息,使用360再次扫描无法扫描到病毒,使用某绒也一样,
进PE备份文件并删除后,C:\Windows\SysWOW64\winrdlv3.exe文件自动恢复,
应该还有其他后台程序只不过我找不到,正常系统下该文件无访问权限,360粉碎机无法粉碎,
现在除了重装系统我没有其他方法清除该病毒,请相关工作人员查毒后尽快推出解决方案
病毒文件
通过百度网盘分享的文件:病毒样本密码123.zip
链接:https://pan.baidu.com/s/1n50extoNRq101Xsnpd_z8w?pwd=djpg
提取码:djpg
--来自百度网盘超级会员V9的分享 |
|
|
|
评论
直达楼层