发现天眼告警

直接 tdesk 上机排查：

1、木马情况：

如果你用火绒处理掉这个，病毒还会再次启动，并且会在 C:\Windows\System32\ 目录下面挑选几个进程进行劫持外连：
形如：

• sihost.exe
• RuntimeBroker.exe
• taskhostw.exe

使用 ProcessExplorer 查了半天，没发现什么有用信息。
通过对比正常电脑上面三个进程的线程，我感觉还是这个 dll 有点问题：ntdll.dll，但没什么证据，暂且不表。

2、确认木马

• 最初告警时间：7月22日早8点
• 桌面有个异常快捷方式，一看，好家伙：C hrome（是的，有一个空格）。

打开目标位置，和告警日期符合。

再打开浏览器的下载页面，确认为 仿冒的谷歌浏览器：

https://xxxxx.com/file/ChromeCore_1344_6.1.7.6.exe?auth_key=xxxxx

（没有可用的 auth_key 的话是下载不下来的）
可以看到这里是木马大本营了。

同时，也发现了 C:\Windows\System32\ 下面有很多恶意的 bat：

打开一个，可以看到恶意内容：

启动了 cvTEXnYvg 服务，我们在注册表和服务中找到并且删除它们。

可以看到是 9iXhft.exe，这个 exe 启动了同目录下的 Guw2M3.dll。

再看其他东西，还可以看到攻击者的一些行为：

• 获取了浏览器配置
• 获取了剪切板

火绒再次查杀 → 没异常了

也不再外连了 ✅

最后

把木马传一下，看到它确实导入了 ntdll.dll。