如图所示,阿里报错为 疑似发现黑客工具,用everything搜索Experience.bat;并打开发现脚本如下:
同时,进入到目录下发现,四个文件,
在关掉rundll.exe进程后,目录中少了mmk.cto文件。
进入到 cd c:\ProgramData\Microsoft\Windows\ 下,复制了 copy c:\windows\system32\mimilsa.log ;运行了 up_rdp.exe; 这个程序估计是上传读取到用户密码,然后删除了日志文件;
并执行了 rundll32 Experience.dll main privilege::debug misc::memssp exit 命令;而通过对messp .cto等关键字的搜索,发现,
<