此次复现挖矿清除不溯源，只是简单的记一下

一、事件背景

近期接到客户反馈，其网络中有部分 Windows 系统终端机器异常，CPU经常飙到100%，电脑使用卡顿。

二、事件处理

查看性能，发现CPU都是100%

检查受害终端，发现进程 Update64.exe 占用CPU极高，为99%

选中Update64.exe进程，右键属性查看，该进程位于 C:\ProgramData\Google 目录下。

进入C盘，查看未发现此目录，是因为此目录被隐藏了

显示隐藏文件方法：组织->文件夹和搜索选项

选中显示隐藏的文件、文件夹和驱动器

之后进入C:\ProgramData\Google 目录，发现病毒的位置

选中Update64.exe 右键结束进程
结束进程之后，再删除C:\ProgramData\Google 目录的异常程序

样本放在了知识星球与我的资源中

只需要点击样本运行即可，切记，实验请在虚拟机进行

更多资源：

1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球，可加入知识星球进行查看。也可搜索关注微信公众号：W小哥