none
server 12 中毒,无法彻底删除 RRS feed

  • 问题

  • 最近发现服务器中毒,

    Msqservices.exe 进程占用CPU50%以上,

    病毒进程

    Msts.exe

    Msqservice.exe

    Scshost.exe

    而且安装了一些远程桌面程序

    AnyDesk

    TeamViewer

    我通过杀毒软件把病毒和软件都已删除,对所有服务器都进行了安装杀毒软件。和全盘扫描,

    我发现他是通过本地管理进行登陆的,我通过使用组策略无法禁用本地管理员,通过使用安全策略禁用管理员,但是在客户端上,缺不起作用,而且发现禁用本地管理员策略被锁,我没有找到具体解决办法,我最后通过首选项,把本地管理员全部禁用也改了名,

    但是我又发现了病毒,他通过使用本地管理员登陆,我的管理员明明是禁用了,我自己根本无法登陆,我查看了注册表。没有发现用户数据被复制,

    请问我如果防范。。如何解决病毒

    还有我的策略为何不会生效,就本地管理员禁用这个策略无法生效。

    2017年4月14日 17:11

答案

全部回复

  • 您好 Chen,

    >>但是我又发现了病毒,他通过使用本地管理员登陆,我的管理员明明是禁用了,我自己根本无法登陆,我查看了注册表。没有发现用户数据被复制,

    请问您是否可以知道是通过什么方式远程登陆的?您可以设置相应的防火墙规则从而进行防范。您首先要确保您的服务器的安全更新补丁都是齐全没有有安全补丁没安装的情况,其次您可以进行您的端口扫描看哪些端口存在风险并进行阻止等操作,然后您也可以在您的防火墙上组织ICMP包的通过以防止外部的计算机Ping您的服务器。

    请问您的本地管理员账户在入侵之后是否该过密码?是否长度足够并且大小写符号俱全?

    更多的病毒的防范您可以寻求相关的三方安全产品或者公司进行咨询。

    请问您设置禁止管理员账户登陆具体是使用哪条策略?能否提供相信的情况以便于我更好的为您解决。

    您也可以查看本地是否有相关的信息存在以便于进一步的排错。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    • 已编辑 John Lii 2017年4月17日 5:34
    2017年4月17日 5:29
  • 您好 john lii

    感谢您的回答

         首先我已对恶意的两款远程桌面程序进行了DNS指定让他无法进行访问,我这边没有开启任何icmp ,我这边只开启了一些常用端口如,80 443,25,开通过一台服务器的3389 但是现在已经更改端口了。我已改过很多次管理员密码,最奇怪的是,我改了本地管理员的用户名和密码,而且已经禁用的情况下他还可以进行登陆,我这边无法判断他是否真的进行了远程登陆,在我的服务器中我看到本地管理员为断开状态,因为病毒需要在此用户中运行一些进程。我使用的是 组策略 安全策略 理得 禁用管理员和更改管理员用户名,但是 不起作用,所有服务器的安全策略里禁用管理员这条策略被锁定状态,我认为这个病毒对服务器做了一些设置。所以我通过使用组策略理得 首选项,本地管理员组,进行更新administ 这个用户进行禁用和更改名称。

    2017年4月19日 15:38
  • Hi Chen,

    您可以使用一些网络管理的软件来检测一些服务器或者一些网络的状态。

    或者您可以寻求一些安全软件的技术支持工程师的帮助。

    或者您可以将该帖子贴到安全论坛以寻求更为有效率的帮助:

    https://social.technet.microsoft.com/Forums/zh-CN/home?category=securitycn&filter=alltypes&sort=lastpostdesc

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已建议为答案 John Lii 2017年4月24日 6:35
    • 已标记为答案 Zhen_Chen 2017年4月24日 8:24
    2017年4月20日 8:28
  • 您好,

    请问您当前的问题是否已经被解决?

    如果您的问题已经被解决,您可以将您的解决方案分享出来以便于其他有类似问题的人可以在该论坛找到解决方案。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年4月24日 6:35