应急响应-紫狐木马处置
特征确认
1、cpu占用率较高
2、netstat -ano 查看有大量的对外1433不明连接
3、输入fltmc发现存在dump_xx过滤器,为紫狐木马病毒特征(管理员权限)
处置方式
使用everything检索ms*.dll筛选出恶意dll
到相应的目录下无法直接查看
通过注册表找到恶意键值进行删除
删除后进行重启,重启后到C:\Windows\System32目录下可发现恶意的dll文件
恢复确认
cmd输入fltmc查看恢复正常
Cpu占用率变低
没有了恶意外连
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022-04-10,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号