[杂谈] 关于中强制交易/远程操作后的处理方式

未免很多人上当受骗，先说几点 YY 各种社交软件上面的发送给你的文件都不要接受！不要接受不要点击不要好奇。

针对于昨天刚遇到这种事情，直接略过前面的，不要跟对方产生交易行为，可以选择插件设置。如果已经在交易途中，观察屏幕是否很卡左右动一动可以避免交易行为，记住一点远程控制的时候对方是特别延迟的。

第二，如果事态紧急，请ALT+F4 只有3到5秒的时间拔网线，拔电源都可以。

避免他继续控制这个时候请断网。

然后进行文件处理，找到他发给你的文件，删除。这一步完成之后，实际上还是在受控制阶段，我们需要检测一下是否有链接。

找到运行输入cmd ，再次输入命令 -ano 我们可以看到tcp链接状态如果有状态的就需要注意了。看后面那个pid 值记录下来，而外网地址可以看到对方的IP 一般后面带8000或者80的都是主流远程操作软件的端口记录下来已备报复！不要给骗子留情，上病毒。

接着输入命令 /svc 这条命令是查看当前进程与PID值和启动的服务。

通过上面的命令找到了网络连接对应的PID值进程，并且发现该进程名是一个IE的进程，很明显这就有问题，因为我们根本没打开浏览器，何来IE进程呢？果断的就知道它的一个远程控制木马伪装的进程。我们应该马上去进行一个查杀掉该进程，从内存中干掉它。输入命令 /f /pid XXXX 这条命令是强制结束PID值为xxxx的进程。当我们强制结束掉了木马之后发现主控端远程控制软件上的肉鸡马上就下线了。这样黑客就无法进行控制了。

在这里说明，只是暂时现在已经让黑客无法控制你的电脑，结束了它的远程控制的连接程序。但是要知道远程控制的第二个通性，就是远程控制软件为了让对方能够重启系统后继续在黑客的远控软件上面上线，就必须会在被控者的电脑上写入一个随机启动项，这个随机启动项就是当系统启动的时候立马运行木马，运行了木马就可以再次上线。所以还需要检测启动项。很多启动项都是写入注册表的，这里给大家列出一些木马可能写入的启动键值。

\\\\\Run

\\\\\

\\\ NT\\ 下的shell键值

\\\ NT\\ 下的load键值

其中第一个可以通过运行“”看到的。经过仔细查看了所有存在可能的随机启动项发现没有任何异常，此时就要注意，是否是以服务的方式启动。下面就去检查所有的服务，找一般是以服务来伪装的一个一个的点打开文件夹看是否不同一个

在CMD下切换到该目录下进程一个强制删除，切换到目录后输入命令del /ah /f .exe就可以强制删除隐藏的木马了通过sc 去删除服务

我因为运气好没有损失，但是希望大家都不要归于运气。 1区水晶之牙转载至

强制进程木马

博主很懒没有标签