mykings&暗云挖矿木马的排查与解决

病毒清除步骤

1）使用Autoruns工具，先解压工具，双击Autoruns64.exe程序进行打开: https://unit.sangfor.co/app/file/Autoruns.zip
2）点击上方Everything选项，进入注册表
3）选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BGClients，右键点击Delete进行删除



4）选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\start，右键点击Delete进行删除



5）点击上方Secheduled Tasks进入计划任务
6）选择计划任务：Mysa、Mysa1、Mysa2、Mysa3、ok，右键点击Delete进行删除



7）点击上方WMI选项
8）选择WMI：fuckyoumm_consumer、fuckyoumm2_consumer，右键点击Delete进行删除



9）选择WMI：fuckyoumm4，右键点击Delete进行删除



10）点击上方Services选项，进入服务项
11）选择服务：xWinWpdSrv，右键点击Delete进行删除



12）再使用EDR进行病毒查杀，一键隔离或手动清除以下病毒文件。



13）Mykings&&暗云3病毒通过将恶意代码写入MBR中，实现开机自动，若不清除MBR中的恶意代码，那么当主机重启时，病毒文件和启动项会再次出现。使用暗云3MBR清理工具进行清除 :

https://unit.sangfor.co/app/file/%E6%9A%97%E4%BA%91%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7.zip


暗云MBR清理工具专杀工具使用方法：

1、右键使用管理员方式运行暗云MBR清理工具.exe程序，该工具运行后是没有现象的或弹框的，运行后观察终端是否报毒即可


Anyun3killer专杀工具使用方法：

1、双击Anyun3killer.exe工具，点击立即扫描





扫描完成后，如果有病毒则会显示检出的病毒文件，点击处置即可；若未感染，直接点击”好的”即可




14）若主机运行着SQL SERVER服务，务必检查下是否存在以下恶意代码，这些代码会每隔一段时间下载Mykings病毒，必须确保清除干净，删除红框中的病毒作业。



15） 删除红框中的存储过程



PS：当主机一段时间或重启后不再有EDR和SIP告警，说明病毒已清除干净。Mykings病毒由于功能复杂，在不同主机上现象不一，清除项在同一台主机上不一定都会出现。

加固建议

1、给主机打上MS17-010永恒之蓝漏洞补丁，建议通过深信服终端安全产品（EDR）进行补丁修复或开启轻补丁功能






2、修改SQL SERVER密码为高强度密码。
3、如有使用深信服终端安全产品（EDR），建议开启实时监控功能。