护网还没开始，电脑先中毒了，那就实战

扫码加圈子

获内部资料

网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。加内部圈子，文末有彩蛋（知识星球优惠卷）。

文章作者：老哥和学习额

文章来源：https://www.freebuf.com/articles/web/426828.html

0x1 前言

我最近给我的旧电脑换了新内存条，刚换好就想着用完testmem再用鲁大师跑下看看，测下内存条。

我鲁大师是用同学发我的，我刚测还没怎么，结果突然mcfee爆出有木马了

我就打开了下资源管理器esc+shift+ctrl

当时这里的GPU的使用率94%，现在已经解决了（对，没错，是显卡，以前遇到的都是内存98%被占用了，当时我还是挂的是小小的集成显卡，别给我烧了，呜呜）

反正最近准备护网了，就先实战下win11应急好了。

0x2 Win11应急实操

1、迅速反应

不用废话，直接把mcfee报的木马文件删除，再卸载鲁大师（这里如果你鼠标动了就拔网线，连的wifi就拔路由网线）

然后在资源管理器中检查占用资源最多的进程

这里给大家讲个细节点

就是这里你直接看进程是不显示全部进程的

你要到性能中点这个位置才有其他的进程（我也不知道为什么，摸索出来的）

这里我当时什么都没查到，可能就是跟GPU有关，看内存没什么用。

然后迅速打开360，开始扫描（平常搞靶机360都是关的，现在想起来了，得开起来）

可惜360没扫出来东西，但开着起码别人没法很明显的改东西（之前还遇到个程序检测到360开了，自己就关了）

现在把防火墙打开，对，平常我也是关的

win+r 输入control

打开防火墙

好了最重要的两步完成了

2、应急必会检查netstat

（我当时把鲁大师删除后，显卡还是一直出问题，风扇一直快转，我心不断的跳，我最后就是在这步给它排查出原来那款鲁大师安装后还会偷偷在其他目录下安装个什么fanyu目录）

netstat几乎是应急神技，专用于检查外连ip

大家可能看到好多的应急用的是netstat -anopt

但这条命令在win11上是不行的

-a	显示所有连接和监听端口（TCP + UDP）
-n	以数字形式显示地址和端口（不解析主机名）
-o	显示进程PID （相当于Linux的 -p）
-b	显示进程名（需管理员权限）
-t	Windows不支持 （但默认显示TCP）

你可以用netstat -anob

这里我们直接用netstat -ano好了，省得用管理员权限

这里着重检查那些外联的ip，那些建立连接ESTABLISHED的那种，给它放微步中

LISTENING 正在等待传入的连接请求。
ESTABLISHED  连接已经建立，数据可以在两个端点之间传输
TIME _WAIT    连接已经关闭，等待足够的时间以确保对方已收到连接关闭请求
CLOSED  没有活动的连接或监听。
CLOSE WAIT   本地端已经关闭连接，但是远程端仍保持连接打开状态。

ip给它丢微步看看（这里是正常的外联，我们就假装这是有问题的，继续深挖）

在资源管理器中检查该pid对应的是哪个进程

继续研究这个进程的所在位置

检查创建文件日期是不是最近中毒时间（这二月的和我4月中毒不匹配）

然后重复着一整个步骤检查完所有的外连ip和进程

3、检查开机启动项

打开注册表编辑器

win+r打开，输入regedit

HKEY_CURRENT_USERS/software/Microsoft/Windows/CurentVersion/Run

当前用户的开机自启动程序

HKEY_LOCAL_MACHINE

系统范围的开机自启动程序

检查当前用户的开机启动项，看样子都是认识的东西

看下系统的

好像也没问题

这里讲下一些细节

静默模式（-silent）

开机自启（-StartType:AutoRun）

可以实现后台自启 /background

你也可以在这里检查下C:UsersxxxAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

或者这样

win+r

shell:startup

4、检查计划任务

按 win+r，输入taskschd.msc。

一个个检查有没有不认识的给它删除了

5、检查用户有没有增加

net user

现在检查这个路径下有几个文件夹，一般带$的文件夹就是隐藏用户

再有就是去注册表检查有几个用户

win+r regedit

计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList

最后用下wmic

wmic useraccount get name,Sid   显示用户的名字和sid（两账户的SID相同，则存在克隆账号）

不得不说还是wmic好用

起码这种的隐藏用户是能找的net user kkk$ kkk@123 /add

或者可以直接点，打开设置面板

点击其他用户，也能看到

6、查服务的一个偏门（没什么用，不过可以了解下）

这里还有种查可以服务的办法win+R输入msconfig，进入系统配置

在这里，我选择先检查下带有未知的制造商（这里以猫猫为例，有问题的服务已经给删除）

因为是正在运行的，直接去资源管理器搜服务名字

转到详细信息

打开文件所在位置

先检查这个路径是不是认识，在检查文件的创建时间，最后把文件丢微步去

嗯，结合这玩意是2024创建的，和我时间不吻合，外加这个微步说安全，看样子不是我要的东西

不过怎么log是最新的，在读我数据吗？

看样子没大问题，可关可不关

0x3 善后工作

当你把这些都搞好后，如果你和我一样是暗影精灵10的，我建议你选择更新下系统，然后重启

这点其实很重要，因为反正我的是每次电脑超负荷工作后很容易导致蓝屏，更新系统会默认更新驱动等等东西。

我之前就是鼠标无法识别，去问修电脑的，人告诉我你重装驱动显示最新版的，没用的，你直接更新系统才行。

重启，完美复活

0x4

原文始发于微信公众号（神农Sec）：护网还没开始，电脑先中毒了，那就实战