应急响应-紫狐木马处置

发表于2022-04-10|更新于2022-06-28

|字数总计:146|阅读时长:1分钟|阅读量:

特征确认

1、cpu占用率较高

2、netstat -ano 查看有大量的对外1433不明连接

3、输入fltmc发现存在dump_xx过滤器，为紫狐木马病毒特征（管理员权限）

处置方式

使用everything检索ms*.dll筛选出恶意dll

到相应的目录下无法直接查看

通过注册表找到恶意键值进行删除

删除后进行重启，重启后到C:\Windows\System32目录下可发现恶意的dll文件

恢复确认

cmd输入fltmc查看恢复正常

Cpu占用率变低

没有了恶意外连

文章作者: Hyyrent

文章链接: https://pizz33.github.io/posts/94984f245009/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Hyyrent blog！

相关推荐

应急响应-遭受入侵的通用处置方法