问题现象:下面维护的网吧客户机突然批量自动重启。
排查过程:
1.到网吧之后排查推测可能是服务器出来问题,于是查看服务器;
2.于服务器上查到电脑有关机重启的日志,进一步确定了问题;
3.看了下服务器有设置了蓝屏写入“核心内存转储”,并设置了自动重启,于是看了 C:\Windows\Minidump 文件夹内有新生成了几个蓝屏dump文件;
4.windbg分析发现疑似之前出现的永恒之蓝漏洞攻击导致的,如下图:
5.查看系统安全日志,发现2分钟会产生一次来自127.0.0.1的安全审核失败的日志,于是怀疑本地有木马在进行内网爆破或感染,使用 process explorer 和 pchunter 对服务器进程和系统服务、启动项、计划任务进行检查,发现一个叫 svhost.exe 的进程,路径: C:\Windows\SysWOW64\svhost.exe ,该进程加载为了一个叫 “Ddriver” 的系统服务,由系统服务进程 services.exe 启动. svhost.exe 运行了子进程:C:\Windows\temp\svvhost.exe 和 C:\Windows\SysWOW64\svhhost.exe,正常的系统上都是没有这些服务和程序的,很明显都是病毒.
解决方法:使用 Pchunter 清理掉对应的进程以及任何服务或启动项.如有安装驱动人生等,建议完全卸载(使用工具卸载)。
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
