午休之后有同事反馈，说企业微信被人远程操作了，然后发个了通知 
 [QQ20250527-141930] 
先拔网线看看情况，打开任务管理器发现几个异常进程 
[QQ浏览器截图20250527135900] 
转到文件 
[QQ浏览器截图20250527135849] 
5.21就存在了，为啥今天才发现 
经过沟通后得知，在5.22号就出现了有人登录他的企业微信，但是没有反馈 
然后询问之前有做过什么操作吗，导致中病毒。回答没有 
好吧，她们说的话不能信，第一时间怀疑是乱下载文件被挂马，于是开始分析浏览器记录和下载记录。 
中招的时间是5.21号上午10点06分，根据这个时间反推下载文件，在5.21号下载了这个dignding2025.05.20.zip这个文件，再看浏览记录，5.21号10点05分，这就找到问题了 
再次询问中招同事，说下载了钉钉，但是没安装成功 
下面把病毒文件和释放的...