Cookie
System.Web.CookieState.CookieStateModule.Cookie, Cookie, Version=2.0.50727.8745, Culture=neutral, PublicKeyToken=a82e8b8c0335c759
不勾选
对比了下其他服务器,发现IIS模块里多了一个这个。
删除掉后,发现劫持停止。
通过powershell来定位到物理地址:
代码如下
# 管理员身份运行PowerShell
[System.Reflection.Assembly]::LoadWithPartialName("System.Web") | Out-Null
# 通过强名称定位DLL
$assemblyName = "Cookie, Version=2.0.50727.8745, Culture=neutral, PublicKeyToken=a82e8b8c0335c759"
$dllPath = [System.Reflection.Assembly]::Load($assemblyName).Location
Write-Host "恶意DLL路径: $dllPath" -ForegroundColor Red
运行后出现:cookiess.dll
找到
C:\Windows\assembly\
目录下的cookiess.dll
右键卸载掉。
如果还没清理干净,大家可以留言
最后一步:清理账户
发现多了2个账户,无法直接删除,可以通过注册表删除。操作如下
⚠️ 操作前必须备份注册表:
DOS窗口下运行如下代码
reg export HKLM\SAM sam-backup.reg
-
打开注册表编辑器:
-
DOS下运行:regedit
-
导航到:
-
在左侧查看 "Names" 子项,找到目标账户名
-
记录右侧默认值的数据(如
0x3e9) -
删除两个位置:
-
Names\目标账户名 -
Users\对应的十六进制值(如000003E9)
-
-
重启计算机
最新评论