官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
记一次windows下恶意程序应急响应实战
xiaohuruwei- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
记一次windows下恶意程序应急响应实战
本机火绒爆出大量安全日志
登录10.99.99.160这台pc,发现大量朝445端口的连接
使用火绒剑查看进程,发现4个恶意进程和进程所在位置
查看启动项,发现两个恶意启动项
查看两个启动项的注册表
发现这两个恶意程序通过注册表自启,删除。
查看计划任务,发现三个恶意计划任务,删除
再查看有无自启服务,发现一个恶意服务
关闭恶意服务,失败。
查看这一恶意服务的注册表,删除,然后服务可以禁用。
目前位置,发现四个恶意程序
C:\Windows\Temp\svchost.exe
C:\Windows\SysWOW64\drivers\svchost.exe
C:\Windows\SysWOW64\drivers\taskmgr.exe
C:\Windows\SysWOW64\wmiex.exe
删除四个恶意程序
C:\Windows\SysWOW64\drivers\taskmgr.exe
C:\Windows\Temp\svchost.exe
这两个无法删除,显示使用中
这边在结束进程,再删除,成功。
发现还是存在大量445连接
tasklist查找,发现还有一个svchost.exe进程,找到文件位置,删除
发现无445的连接
本文为 xiaohuruwei 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
我就只收藏不看看
相关推荐
xiaohuruwei LV.2
这家伙太懒了,还未填写个人描述!
- 2 文章数
- 0 关注者
记菜鸡的一次应急响应
2024-09-18