mykings&暗云挖矿木马的排查与解决
病毒清除步骤
1)使用Autoruns工具,先解压工具,双击Autoruns64.exe程序进行打开: https://unit.sangfor.co/app/file/Autoruns.zip
2)点击上方Everything选项,进入注册表
3)选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BGClients,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/420e77defe8131a1abd4996884915bb7.png)
4)选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\start,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/3aea56f1c8229a3c2068a1e74f3af17a.png)
5)点击上方Secheduled Tasks进入计划任务
6)选择计划任务:Mysa、Mysa1、Mysa2、Mysa3、ok,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/0171eefc6d4f5635a8f285742149ea45.png)
7)点击上方WMI选项
8)选择WMI:fuckyoumm_consumer、fuckyoumm2_consumer,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/436c95d4e137102677e331d25c31fa8f.png)
9)选择WMI:fuckyoumm4,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/79dd0054eef21af53241c0516d5ee7e4.png)
10)点击上方Services选项,进入服务项
11)选择服务:xWinWpdSrv,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/587592c0bfd57bfec6519ce2749b7bc8.png)
12)再使用EDR进行病毒查杀,一键隔离或手动清除以下病毒文件。
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/d8470c23bb7643cbaab7d41ec9fe2199.png)
13)Mykings&&暗云3病毒通过将恶意代码写入MBR中,实现开机自动,若不清除MBR中的恶意代码,那么当主机重启时,病毒文件和启动项会再次出现。使用暗云3MBR清理工具进行清除 :
https://unit.sangfor.co/app/file/%E6%9A%97%E4%BA%91%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7.zip
暗云MBR清理工具专杀工具使用方法:
1、右键使用管理员方式运行暗云MBR清理工具.exe程序,该工具运行后是没有现象的或弹框的,运行后观察终端是否报毒即可
Anyun3killer专杀工具使用方法:
1、双击Anyun3killer.exe工具,点击立即扫描
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/58a9088fb3f1f517025eeb88a477cc23.png)
扫描完成后,如果有病毒则会显示检出的病毒文件,点击处置即可;若未感染,直接点击”好的”即可
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/274b0c60f38b3065933105ff13287692.png)
14)若主机运行着SQL SERVER服务,务必检查下是否存在以下恶意代码,这些代码会每隔一段时间下载Mykings病毒,必须确保清除干净,删除红框中的病毒作业。
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/5b632ee4e20439088331c0cfd1ae625a.png)
15) 删除红框中的存储过程
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/39171ecb58893158ae8de447e008b601.png)
PS:当主机一段时间或重启后不再有EDR和SIP告警,说明病毒已清除干净。Mykings病毒由于功能复杂,在不同主机上现象不一,清除项在同一台主机上不一定都会出现。
2)点击上方Everything选项,进入注册表
3)选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BGClients,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/420e77defe8131a1abd4996884915bb7.png)
4)选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\start,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/3aea56f1c8229a3c2068a1e74f3af17a.png)
5)点击上方Secheduled Tasks进入计划任务
6)选择计划任务:Mysa、Mysa1、Mysa2、Mysa3、ok,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/0171eefc6d4f5635a8f285742149ea45.png)
7)点击上方WMI选项
8)选择WMI:fuckyoumm_consumer、fuckyoumm2_consumer,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/436c95d4e137102677e331d25c31fa8f.png)
9)选择WMI:fuckyoumm4,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/79dd0054eef21af53241c0516d5ee7e4.png)
10)点击上方Services选项,进入服务项
11)选择服务:xWinWpdSrv,右键点击Delete进行删除
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/587592c0bfd57bfec6519ce2749b7bc8.png)
12)再使用EDR进行病毒查杀,一键隔离或手动清除以下病毒文件。
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/d8470c23bb7643cbaab7d41ec9fe2199.png)
13)Mykings&&暗云3病毒通过将恶意代码写入MBR中,实现开机自动,若不清除MBR中的恶意代码,那么当主机重启时,病毒文件和启动项会再次出现。使用暗云3MBR清理工具进行清除 :
https://unit.sangfor.co/app/file/%E6%9A%97%E4%BA%91%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7.zip
暗云MBR清理工具专杀工具使用方法:
1、右键使用管理员方式运行暗云MBR清理工具.exe程序,该工具运行后是没有现象的或弹框的,运行后观察终端是否报毒即可
Anyun3killer专杀工具使用方法:
1、双击Anyun3killer.exe工具,点击立即扫描
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/58a9088fb3f1f517025eeb88a477cc23.png)
扫描完成后,如果有病毒则会显示检出的病毒文件,点击处置即可;若未感染,直接点击”好的”即可
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/274b0c60f38b3065933105ff13287692.png)
14)若主机运行着SQL SERVER服务,务必检查下是否存在以下恶意代码,这些代码会每隔一段时间下载Mykings病毒,必须确保清除干净,删除红框中的病毒作业。
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/5b632ee4e20439088331c0cfd1ae625a.png)
15) 删除红框中的存储过程
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/39171ecb58893158ae8de447e008b601.png)
PS:当主机一段时间或重启后不再有EDR和SIP告警,说明病毒已清除干净。Mykings病毒由于功能复杂,在不同主机上现象不一,清除项在同一台主机上不一定都会出现。
加固建议
1、给主机打上MS17-010永恒之蓝漏洞补丁,建议通过深信服终端安全产品(EDR)进行补丁修复或开启轻补丁功能
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/b1fe6559bac3866d7b72d1f3fea42604.png)
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/f51b753b4637ea4f440a50f615b0d8b7.png)
2、修改SQL SERVER密码为高强度密码。
3、如有使用深信服终端安全产品(EDR),建议开启实时监控功能。
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/b1fe6559bac3866d7b72d1f3fea42604.png)
![](https://192.168.4.25/ui/apps/documents/resources/help_document_img/zh_cn/f51b753b4637ea4f440a50f615b0d8b7.png)
2、修改SQL SERVER密码为高强度密码。
3、如有使用深信服终端安全产品(EDR),建议开启实时监控功能。