建设商业网站的功能定位/北京网络推广公司wyhseo

0x00、前言

用户的安全意识相对薄弱，面对来历不明的链接和附件，容易被诱导从而遭受木马的入侵。在日常使用过程中，有时电脑中病毒后会遇到木马查杀不掉的情况，应该是如何处理呢？下面分享一个Emotet木马处理的案例，希望对你有所帮助。

0x01、案例说明

从流量侧监控到多个用户终端频繁发送邮件，涉及大量收件人与发件人并带有附件，疑似感染木马，用户手动杀软查杀无果。

0x02、原因分析

既然杀软无法处理，那就只能手工来分析排查了，依靠系统运维的经验，首先需要当前的异常现象进行分析，重点关注进程、启动项、网络等的异常情况。

这里，我们使用火绒自带的安全分析工具--火绒剑，进行手工分析排查。

(1)进程分析

使用用户账号登录，对用户的所有进程进行一项项排查，查看可疑的进程及其子进程。通过排查我们可以发现，regsvr32.exe进程中存在异常加载的组件，无签名、无描述信息，临时文件路径。

(2)启动项分析

用户的登录启动项中，在这个列表中，我们看到存在两项异常的注册表登录启动项，而且文件路径还跟进程分析发现异常文件可以对应上，那么基