1、病毒现象
(1)、主机有大量对同网段主机的3389连接。
(2)、C:\Windows\offline web pages目录下有cache.txt文件。
2、病毒处置
(1)、删除标记的所有键值,只保留默认的
(2)、使用tcpview工具可确定爆破3389的svchost.exe进程,再在任务管理器中结束这个svchost.exe进程
(3)、删除C:\Windows\offline web pages\cache.txt
(4)、删除成功后重启电脑确认是否还存在该病毒
(5)、更改用户登录密码,通过设置高强度密码避免再次被RDP爆破
3、病毒详情
https://www.freebuf.com/news/167365.html