1.木马文件删除
该木马在桌面会自动生成,且文件属于隐藏文件,属性内查看隐藏文件是无效的,只有通过cmd命令:dir /ah进行查看。
首先是桌面(可以使用everythin进行检索木马位置)
木马被隐藏:
通过del /AH删除该病毒
c盘根目录:
C:UsersAdministratorAppDataRoamingIdentities也是隐藏马的
同样的使用del /ah xxx.exe进行删除
2.启动项清除
删除注册表启动项
问题项如下:
|
键:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunAdobe System Incorporated 值:C:UsersADMINI~1AppDataLocalTempAdobeReader_sl.exe 键:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunJynanj 值:C:UsersAdministratorAppDataRoamingIdentitiesJynanj.exe |
多次此时,键值可能会不同,如部分机器是JYnanj.exe但是我机器测试的时候就是Htgcgj.exe,所以在这部分的时候,建议将不认识注册表项全部删除。
取消(如下并不一定一摸一样是Htgcgj,可能是别的名称)
3.杀死进程
因为其注入了svchost.exe(该进程在注入完了以后自毁了)、notepad.exe两个进程,所以找到杀死即可。
4.确认完成
最后再次重启以后看进程是否含notepad.exe进程,且访问外部IP,如果没有那就说明清除成功,也可将优盘格式化以后进行拔插尝试再次进行确认。
