Windows中毒应急方式

一、检查系统账号安全

1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放。

2、Win+R 打开运行,输入"eventvwr.msc"打开操作系统日志,查看管理员登录时间、用户名是否存在异常

二、检查异常端口、进程

1、使用 netstat -ano 检查端口连接情况,是否有远程连接、可疑连接(主要定位 ESTABLISHED)。

2、根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位

tasklist | findstr "PID"

3、也可以使用 D 盾_web 查杀工具、火绒剑、XueTr 等工具进行判断可疑进程(如蓝色、红色进程、没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合 法、 CPU 或内存资源占用长时间过高的进程)

三、检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项,如:单击开始菜单 >【运行】,输入 msconfig看一下启动项是否存在可疑启动,注册表run键值是否存在可疑启用文件,组策略,运行gpedit.msc 查看脚本启动是否存在启用文件等

2、检查计划任务,如单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属 性,便可以发现木马文件的路径

3、检查服务自启动,如单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。

四、检查系统相关信息

1、查看系统版本以及补丁信息

检查方法:单击【开始】>【运行】,输入 systeminfo,查看系统信息是否打了补丁

2、查找可疑目录及文件检查方法:

a、查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。

Window 2003 C:\Documents and Settings

Window 2008R2 C:\Users\ b、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件。

c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。

五、自动化查杀

用360、卡巴斯基等病毒查杀系统病毒木马,Web 可以用 D 盾、河马工具查杀 Webshell 后门

六、日志分析

用 360 星图日志分析工具进行分析攻击痕迹或手工结合 EmEditor 进行日志分析

相关推荐
RainCity4 天前
Java Swing 自定义组件库分享(十二)
java·笔记·后端
LinXunFeng12 天前
Obsidian - 使用 Share Note 分享笔记并自部署
前端·笔记·github
闪闪发亮的小星星16 天前
高斯光以及高斯光公式解释
笔记
cqbzcsq16 天前
CellFlow虚拟细胞论文阅读
论文阅读·人工智能·笔记·学习·生物信息
阿米亚波16 天前
【Windows】QEMU 启动 openEuler aarch64/arm64 架构系统 + 离线软件源
linux·windows·经验分享·笔记·架构·arm
自传.16 天前
尚硅谷 Vibe Coding|第三章(1) Claude Code深度使用与进阶技巧 学习笔记
笔记·学习·尚硅谷·vibecoding
.千余16 天前
【C++】模板进阶全解:非类型参数|全特化|偏特化|分离编译完全指南
开发语言·c++·笔记·学习·其他
自传.16 天前
尚硅谷 Vibe Coding|第二章 AI编程工具生态 学习笔记
笔记·学习·ai编程·尚硅谷·vibe coding
秋波。未央16 天前
Java Agent 开发 · Day 1 学习笔记(含作业完整标准答案)
java·笔记·学习
中屹指纹浏览器16 天前
2026指纹浏览器字体指纹、字体渲染偏差检测与全维度虚拟字体池搭建方案
经验分享·笔记