辦公電腦被集團(tuán)公司通報(bào)兩次,存在病毒病，并不斷攻擊其它電腦要求處理。系統(tǒng)重裝了，殺毒軟件也上了，還是沒有清除。估計(jì)是硬盤被感染了，電腦權(quán)限被黑客奪了。
結(jié)束所有運(yùn)行程序，斷開網(wǎng)絡(luò)，查詢運(yùn)行端口
netstat? -a
活動(dòng)連接
協(xié)議? 本地地址? ? ? ? ? 外部地址? ? ? ? 狀態(tài)
? TCP? ? 0.0.0.0:135? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:445? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:5357? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:11200? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:16422? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:18386? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:21531? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:28653? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:49152? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:49153? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:49154? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:49155? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 0.0.0.0:49179? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
TCP? ? 10.0.0.3:139? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 10.0.0.3:49425? ? ? ? 220.181.163.130:http? ESTABLISHED
? TCP? ? 10.0.0.3:49444? ? ? ? 58.56.65.100:7534? ? ? ESTABLISHED
? TCP? ? 10.0.0.3:49467? ? ? ? 203.119.129.47:https? ESTABLISHED
TCP? ? 10.0.0.3:49472? ? ? ? 180.149.145.242:https? CLOSE_WAIT
TCP? ? 10.0.0.3:49635? ? ? ? 115.239.210.219:5287? ESTABLISHED
TCP? ? 10.0.0.3:49641? ? ? ? 115.239.210.219:5287? ESTABLISHED
TCP? ? 10.0.0.3:49661? ? ? ? 113.96.232.146:8080? ? ESTABLISHED
TCP? ? 10.0.0.3:49674? ? ? ? 58.217.200.62:http? ? CLOSE_WAIT
? TCP? ? 10.0.0.3:49686? ? ? ? 58.217.200.62:http? ? CLOSE_WAIT
? TCP? ? 10.0.0.3:51028? ? ? ? 180.149.133.176:http? LAST_ACK
? TCP? ? 10.0.0.3:51515? ? ? ? 103.231.98.196:https? TIME_WAIT
? TCP? ? 10.0.0.3:51585? ? ? ? 180.163.255.156:https? ESTABLISHED
? TCP? ? 10.0.0.3:51609? ? ? ? 180.163.255.156:https? ESTABLISHED
? TCP? ? 10.0.0.3:51622? ? ? ? 180.163.255.156:https? ESTABLISHED
? TCP? ? 10.0.0.3:51627? ? ? ? 58.222.38.24:https? ? TIME_WAIT
? TCP? ? 10.0.0.3:51793? ? ? ? 106.39.162.97:https? ? CLOSE_WAIT
? TCP? ? 10.0.0.3:51795? ? ? ? 58.217.200.62:http? ? TIME_WAIT
? TCP? ? 10.0.0.3:51798? ? ? ? 59.37.97.23:https? ? ? ESTABLISHED
? TCP? ? 10.0.0.3:51801? ? ? ? 101.227.22.158:http? ? TIME_WAIT
? TCP? ? 10.0.0.3:51802? ? ? ? 193.112.237.121:http? TIME_WAIT
? TCP? ? 10.0.0.3:51803? ? ? ? 193.112.237.121:http? TIME_WAIT
? TCP? ? 10.0.0.3:51804? ? ? ? 193.112.237.121:http? TIME_WAIT
? TCP? ? 10.0.0.3:51805? ? ? ? 101.227.200.22:http? ? CLOSE_WAIT
? TCP? ? 10.0.0.3:51806? ? ? ? 101.227.22.158:http? ? CLOSE_WAIT
? TCP? ? 10.0.0.3:51807? ? ? ? 180.149.133.176:http? ESTABLISHED
? TCP? ? 10.0.0.3:51808? ? ? ? 117.48.124.216:http? ? TIME_WAIT
? TCP? ? 10.0.0.3:51809? ? ? ? 117.48.124.156:http? ? TIME_WAIT
? TCP? ? 127.0.0.1:7475? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 127.0.0.1:8088? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
TCP? ? 127.0.0.1:10000? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 127.0.0.1:16888? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
TCP? ? 127.0.0.1:20871? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 127.0.0.1:21440? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 127.0.0.1:21441? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 127.0.0.1:45777? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? 127.0.0.1:56741? ? ? ? wxdw-PC:56746? ? ? ? ? ESTABLISHED
? TCP? ? 127.0.0.1:56746? ? ? ? wxdw-PC:56741? ? ? ? ? ESTABLISHED
? TCP? ? [::]:135? ? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? [::]:445? ? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? [::]:5357? ? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? [::]:49152? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? [::]:49153? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? [::]:49154? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? [::]:49155? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? TCP? ? [::]:49179? ? ? ? ? ? wxdw-PC:0? ? ? ? ? ? ? LISTENING
? UDP? ? 0.0.0.0:68? ? ? ? ? ? *:*
? UDP? ? 0.0.0.0:500? ? ? ? ? ? *:*
? UDP? ? 0.0.0.0:3702? ? ? ? ? *:*
? UDP? ? 0.0.0.0:3702? ? ? ? ? *:*
? UDP? ? 0.0.0.0:4500? ? ? ? ? *:*
? UDP? ? 0.0.0.0:5355? ? ? ? ? *:*
? UDP? ? 0.0.0.0:18386? ? ? ? ? *:*
? UDP? ? 0.0.0.0:20871? ? ? ? ? *:*
? UDP? ? 0.0.0.0:30550? ? ? ? ? *:*
? UDP? ? 0.0.0.0:50317? ? ? ? ? *:*
? UDP? ? 0.0.0.0:53817? ? ? ? ? *:*
? UDP? ? 0.0.0.0:54515? ? ? ? ? *:*
? UDP? ? 0.0.0.0:58746? ? ? ? ? *:*
? UDP? ? 0.0.0.0:60000? ? ? ? ? *:*
? UDP? ? 0.0.0.0:61660? ? ? ? ? *:*
? UDP? ? 0.0.0.0:64976? ? ? ? ? *:*
UDP? ? 10.0.0.3:137? ? ? ? ? *:*
UDP? ? 10.0.0.3:138? ? ? ? ? *:*
? UDP? ? 10.0.0.3:1900? ? ? ? ? *:*
? UDP? ? 10.0.0.3:2177? ? ? ? ? *:*
? UDP? ? 10.0.0.3:50703? ? ? ? *:*
? UDP? ? 127.0.0.1:1900? ? ? ? *:*
? UDP? ? 127.0.0.1:50704? ? ? ? *:*
? UDP? ? 127.0.0.1:52303? ? ? ? *:*
? UDP? ? 127.0.0.1:61659? ? ? ? *:*
? UDP? ? 127.0.0.1:62533? ? ? ? *:*
? UDP? ? [::]:500? ? ? ? ? ? ? *:*
? UDP? ? [::]:3702? ? ? ? ? ? ? *:*
? UDP? ? [::]:3702? ? ? ? ? ? ? *:*
? UDP? ? [::]:4500? ? ? ? ? ? ? *:*
? UDP? ? [::]:5355? ? ? ? ? ? ? *:*
? UDP? ? [::]:64977? ? ? ? ? ? *:*
? UDP? ? [::1]:1900? ? ? ? ? ? *:*
? UDP? ? [::1]:50702? ? ? ? ? ? *:*
? UDP? ? [fe80::5942:18bd:8edf:d2c6%11]:1900? *:*
? UDP? ? [fe80::5942:18bd:8edf:d2c6%11]:2177? *:*
? UDP? ? [fe80::5942:18bd:8edf:d2c6%11]:50701? *:*
說明是中招了。
處置方法：

(1)禁用所有可疑開機(jī)啟動(dòng)項(xiàng)
(2)取消遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面連接
(3)關(guān)閉137、138、139、445和3389端口，
執(zhí)行如下批命令
%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",1)(window.close)&&exit

@echo off
color 1f
title 關(guān)閉135 137 138 139 445 3389 端口
echo.
echo.
echo.
echo 正在關(guān)閉135端口 請稍候…
netsh advfirewall firewall add rule name = "Disable port 135 - TCP" dir = in action = block protocol = TCP localport = 135
echo.
netsh advfirewall firewall add rule name = "Disable port 135 - UDP" dir = in action = block protocol = UDP localport = 135
echo.
echo 正在關(guān)閉137端口 請稍候…
netsh advfirewall firewall add rule name = "Disable port 137 - TCP" dir = in action = block protocol = TCP localport = 137
echo.
netsh advfirewall firewall add rule name = "Disable port 137 - UDP" dir = in action = block protocol = UDP localport = 137
echo.
echo 正在關(guān)閉138端口 請稍候…
netsh advfirewall firewall add rule name = "Disable port 138 - TCP" dir = in action = block protocol = TCP localport = 138
echo.
netsh advfirewall firewall add rule name = "Disable port 138 - UDP" dir = in action = block protocol = UDP localport = 138
echo.
echo 正在關(guān)閉139端口 請稍候…
netsh advfirewall firewall add rule name = "Disable port 139 - TCP" dir = in action = block protocol = TCP localport = 139
echo.
netsh advfirewall firewall add rule name = "Disable port 139 - UDP" dir = in action = block protocol = UDP localport = 139
echo.
echo 正在關(guān)閉445端口 請稍候…
netsh advfirewall firewall add rule name = "Disable port 445 - TCP" dir = in action = block protocol = TCP localport = 445
echo.
netsh advfirewall firewall add rule name = "Disable port 445 - UDP" dir = in action = block protocol = UDP localport = 445
echo 正在關(guān)閉3389端口 請稍候…
netsh advfirewall firewall add rule name = "Disable port 3389 - TCP" dir = in action = block protocol = TCP localport = 3389
echo.
echo 按任意鍵退出
pause>nul
(4)啟動(dòng)系統(tǒng)審核策略
“開始”——“運(yùn)行”框中輸入“gpedit.msc”進(jìn)入組策略編輯器，在計(jì)算機(jī)配置——Windows設(shè)置——安全設(shè)置——本地策略——審核策略中，將審核登錄事件、審核對象訪問、審核系統(tǒng)事件和審核帳戶登錄事件啟用成功方式的審核。

圖片發(fā)自簡書App

(5)用戶權(quán)利指派

同樣在組策略編輯器，在計(jì)算機(jī)配置——Windows設(shè)置——安全設(shè)置——本地策略——用戶權(quán)利指派中，將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”策略中的所用用戶都刪除，在“拒絕從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”策略中確保已有“everyone”帳戶，然后再刪除“通過終端服務(wù)允許登錄”策略中的所有用戶，并確保在“通過終端服務(wù)拒絕登錄”策略中有“everyone”帳戶。

圖片發(fā)自簡書App

(6)禁用系統(tǒng)默認(rèn)共享
在組策略編輯器中，計(jì)算機(jī)配置——Windows設(shè)置——安全設(shè)置——安全選項(xiàng)，將“網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉”及“網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉”全部啟用;將“網(wǎng)絡(luò)訪問：可匿名訪問的共享”、“可匿名訪問的管道”及“可遠(yuǎn)程訪問的注冊表路徑”中的內(nèi)容全部刪除。

圖片發(fā)自簡書App

(6)安裝殺毒軟件查殺