在日常运维中,有一天发现我们深度威胁设备报出“MS17-010 - Remote Code Execution - SMB (Request)”日志,很显然,这个电脑是被植入永恒之蓝病毒了,不断往外面发目标端口是445的包。现在表演手动查杀病毒木马文件。
1、在CMD窗口下,输入如下命令:netatst –ano | findstr “445”,找出相关进程号,其中SYN_SENT状态,很显然,该电脑被感染永恒之蓝病毒了。
2、找出相关进程号对应的进程,在cmd下输入tasklist | findstr 20164,看看是哪个进程产生该数据包:
3、打开任务管理器,找到相应的进程,先打开文件位置,然后结束进程。