应急响应-紫狐木马处置
特征确认
1、cpu占用率较高
2、netstat -ano 查看有大量的对外1433不明连接
3、输入fltmc发现存在dump_xx过滤器,为紫狐木马病毒特征(管理员权限)
处置方式
使用everything检索ms*.dll筛选出恶意dll
到相应的目录下无法直接查看
通过注册表找到恶意键值进行删除
删除后进行重启,重启后到C:\Windows\System32目录下可发现恶意的dll文件
恢复确认
cmd输入fltmc查看恢复正常
Cpu占用率变低
没有了恶意外连
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Hyyrent blog!