该木马在桌面会自动生成,且文件属于隐藏文件,属性内查看隐藏文件是无效的,只有通过cmd命令:dir /ah进行查看。
首先是桌面(可以使用everythin进行检索木马位置)
木马被隐藏:
通过del /AH删除该病毒
c盘根目录:
C:\Users\Administrator\AppData\Roaming\Identities也是隐藏马的
同样的使用del /ah xxx.exe进行删除
删除注册表启动项
问题项如下:
|
键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Adobe System Incorporated 值:C:\Users\ADMINI~1\AppData\Local\Temp\Adobe\Reader_sl.exe 键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Jynanj 值:C:\Users\Administrator\AppData\Roaming\Identities\Jynanj.exe |
多次此时,键值可能会不同,如部分机器是JYnanj.exe但是我机器测试的时候就是Htgcgj.exe,所以在这部分的时候,建议将不认识注册表项全部删除。
取消(如下并不一定一摸一样是Htgcgj,可能是别的名称)
因为其注入了svchost.exe(该进程在注入完了以后自毁了)、notepad.exe两个进程,所以找到杀死即可。
最后再次重启以后看进程是否含notepad.exe进程,且访问外部IP,如果没有那就说明清除成功,也可将优盘格式化以后进行拔插尝试再次进行确认。
原文:https://www.cnblogs.com/nul1/p/14719732.html