排查思路
后门账号
运行regedit,查看管理员对应键值\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
定时任务
打开任务计划程序,进行排查运行taskschd.msc
启动项
查看启动项目录是否有恶意程序Win+r运行shell:startup
本地策略组启动项
检查本地组策略是否存在可疑脚本 运行gpedit.msc
运行regedit,查看管理员对应键值\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
打开任务计划程序,进行排查运行taskschd.msc
查看启动项目录是否有恶意程序Win+r运行shell:startup
本地策略组启动项
检查本地组策略是否存在可疑脚本 运行gpedit.msc