Environment:
OS:Windows XP,Windows 7
Antivirus:McAfee
一.Appearance
1.1 McAfee重复删除同一个木马RDN/Autorun.worm.gen,路径:C:\Windows\System32\snmpstorsrv.dll
AutorunWorm002.PNG
1.2 计算机不定期弹出对话框并强制重启
AutorunWorm005.jpg
二.Reason
2.1 通过外接USB存储设备感染了某一台计算机>>在局域网内通过SMB协议快速扩散
2.2 木马杀死了系统进程lsass.exe,导致系统强制重启
AutorunWorm004.PNG
三.Solution
3.1 断开网络防止木马继续扩散
3.2 根据操作系统版本安装最新的月度安全质量汇总补丁包:此次为KB4467107
AutorunWorm006.png
3.3 删除组件包:MarsTraceDiagnostics.xml
C:\ Windows\System32\MarsTraceDiagnostics.xml
3.4 停止服务snmpstorsrv,以管理员身份运行命令提示符,输入以下命令删除服务
sc delete snmpstorsrv
3.5 删除核心文件snmpstorsev.dll,如果删除不了,请将其重命名,删除扩展名,然后移动到桌面。
C:\Windows\System32\snmpstorsev.dll
3.6 删除相关文件夹AppDiagnostics
C:\Windows\AppDiagnostics
