太离谱了：我以为是“瓜”…结果是恶意脚本 · 我把坑点列出来了

黑料大事记 2026年01月14日 12:30 128 V5IfhMOK8g

前言 · 一个看起来无害的“瓜”差点把我坑死前几天群里有人丢了一个“瓜”（听着就想点开的那种），文件名看起来很无害，我也没多想就点开了。结果电脑短时间内 CPU 飙升、浏览器自动跳转到陌生页面，后台多了莫名的网络连接。排查一圈才发现不是八卦，而是被一个恶意脚本盯上了。把这次经历和排查、修复、预防过程整理出来，顺便把那些容易踩的坑点列成清单，给大家当参考。

我遇到的现象（快速回放）

文件扩展名看似正常（.txt/.jpg/*.docx），但实则内含可执行脚本或宏；
打开后浏览器或系统进程异常（高 CPU/内存、自动新建进程）；
网络有大量未知 IP 的建立连接（常见为国外或被劫持的域名）；
系统出现持久化痕迹：注册表 Run 项、计划任务、启动项等；
直接杀掉可疑进程并不会彻底解决，脚本有定时或自恢复机制。

如何快速判断是否被脚本感染（实用技巧）

打开任务管理器/Process Explorer：看有没有陌生子进程或可疑命令行参数。
netstat -ano / ss：查找异常的外发连接与对应 PID。
查看注册表和计划任务：HKCU/HKLM Run 项、schtasks /query。
浏览器开发者工具（F12）：Network 中观察是否有大量到陌生域名或 data:、blob: 请求。
在线检测：把可疑文件上传到 VirusTotal、Hybrid Analysis 查看多家引擎检测结果。
使用 Sysinternals：Autoruns 查启动项，Process Explorer 查看句柄/模块。

清理与恢复的步骤建议（按步骤走，别慌） 1) 立刻断网（物理拔网线或关闭 Wi‑Fi），防止数据继续外泄或额外载荷下载。 2) 使用可信的杀毒/反恶意软件全盘扫描，结合 Malwarebytes、Windows Defender 等多家工具。 3) 启动到安全模式或预安装环境，使用 Autoruns 删除可疑启动项、注册表和计划任务。 4) 查找并删除残留文件、临时目录、浏览器扩展（尤其是未知来源的）。 5) 更改受影响账户密码（优先重要账号），并在其他设备上检查是否有同样异常。 6) 恢复前检查系统日志、网络日志，确认没有后门残留。需要的话重装系统可作为最后手段。 7) 如果涉及敏感信息泄露，考虑通知相关方并启动应急响应流程。

网站/团队层面能做的防护（开发者角度）