【网络安全】我的第一次windows服务器杀毒经历

公司的数据库服务器上有毒，一直没太在意（因为没有人在意，创业公司，问题不严重就没人管）。

今天遇到点问题，就顺手把服务器上的毒清了吧。

快捷键win+ R，打开cmd

输入netstat -ano查看端口状态

etablished表示正在使用的，其他的不管，UDP协议的也不管



打开百度，搜索IP，查看ip归属地

发现176.9.147.178是国外的ip，这个就是攻击者的ip了，后面1820是进程ID（PID）

打开任务管理器，进程tab选择菜单栏的查看，选择列，勾选pid

找到对应的pid，右键该进程update.exe，打开文件所在目录

发现没有update.exe，菜单栏组织-文件夹和搜索选项-查看，



发现文件



上面的是日志文件，打开看看



搜索下minergate，原来是挖矿程序

搜索下nssm，是个系统服务管理工具

看下update.bat



1.脚本把update.exe设置成了系统服务system_update，把服务删掉:

sc命令好像被禁了，那就用攻击者的工具吧，在当前目录下，输入nssm remove system_update ，点击确认，移除

2.进程中查找程序，如果没有启动就启动服务

3.递归设置文件夹隐藏属性，这个文件夹没有找到，是不是安装完清掉了

4.不允许账户强制注销

5.提供注册表修改远程终端连接配置，不知道这里什么用意...

6.提供注册表设置文件夹选项，设置不显示隐藏文件

7.设置当前目录的所有文件为系统和隐藏属性

8.删除本脚本，自己删除自己，失败了吧

删除服务和程序，貌似没其他了吧，先用着看看。