Windows 电脑发现老是自动访问外网的域名排障步骤

Windows 电脑发现老是自动访问外网的域名，如何排障

• 一、基础信息获取与进程定位
• • 1.1、确认进程关键信息
  • 1.2、进程合法性初步验证
• 二、网络连接深度分析
• • 2.1、目的IP/域名溯源
  • 2.2、端口与协议检查
• 三、进程行为与系统异常排查
• • 3.1、进程启动与依赖分析
  • 3.2、系统异常行为扫描
• 四、恶意软件与后门清除
• • 4.1、全面病毒扫描
  • 4.2、应急响应措施
• 五、查看系统信息
• • 查看系统账号
  • 查看系统信息
  • 查看系统日志
• 六、检查启动项、计划任务、服务
• • 检查启动项（开机自动运行的程序）
  • 注册表
  • 检查计划任务（定时 / 触发式运行的程序）
  • 服务
  • 如何判断启动项是否异常？
• 五、验证与报告
• • 5.1、操作确认与日志留存
  • 5.2、结果反馈与协同处置

一、基础信息获取与进程定位

1.1、确认进程关键信息

首先向管理员索要外联进程的进程名、PID（进程 ID）、目标 IP / 域名及端口号。若未提供，可自行通过以下方式获取：

netstat -ano | findstr \"ESTABLISHED\" # 显示活跃连接及PIDtasklist | findstr \"PID号\" # 根据PID查找进程名wmic process where \"name=\'进程名.exe\'\" get ExecutablePath # 按进程名查询（适用于单进程）wmic process where \"ProcessId=PID数字\" get ExecutablePath # 用 PID 查询对应路径

1.2、进程合法性初步验证

• 路径检查：在任务管理器中右键进程 → 打开文件所在位置，确认路径是否为系统目录（如C:\\Windows\\System32）。若位于AppData、Temp等目录需高度警惕。
• 签名验证：使用微软工具sigcheck验证进程数字签名（需要提前安装）

sigcheck -v \"进程路径\" # 显示签名信息，无签名或未知发布者为异常

若提示\"Signature verified: No\"，需立即终止进程并进一步分析。
可以直接看该进程的属性，查看数字签名选项

二、网络连接深度分析

2.1、目的IP/域名溯源

• 归属地查询：查看是否为恶意 IP
• 域名解析验证：nslookup 目标域名 8.8.8.8 # 使用Google DNS验证真实解析结果，若本地解析结果与公共 DNS 不一致，可能存在 DNS 劫持。

2.2、端口与协议检查

• 端口性质判断：参考 Windows 动态端口范围（49152-65535 为正常临时端口），若连接端口为4444（Metasploit 默认端口）或8080（Webshell 常用端口），需重点排查
• 协议分析：使用 Wireshark 过滤目标 IP 和端口，检查传输数据是否为加密流量（如 TLS 握手）或异常协议（如 DNS 隧道）

三、进程行为与系统异常排查

3.1、进程启动与依赖分析

• 启动命令检查：在任务管理器中右键进程 → 属性，查看命令行字段。若包含可疑参数（如-d 192.168.1.100）或调用非系统 DLL（如rundll32.exe C:\\恶意.dll），可能为恶意进程。
• DLL 注入检测：若发现svchost.exe加载非系统目录的 DLL，可能为恶意注入。

tasklist /m | findstr \"进程名\" # 列出进程加载的DLL；

但是上面的方式只能列出加载的dll文件，没有显示路径
查找进程并获取加载的所有 DLL 路径

Get-Process -Name \"ApifoxAppAgent\" | Select-Object