1.木馬文件刪除
該木馬在桌面會自動生成,且文件屬於隱藏文件,屬性內查看隱藏文件是無效的,只有通過cmd命令:dir /ah進行查看。
首先是桌面(可以使用everythin進行檢索木馬位置)
木馬被隱藏:
通過del /AH刪除該病毒
c盤根目錄:
C:\Users\Administrator\AppData\Roaming\Identities也是隱藏馬的
同樣的使用del /ah xxx.exe進行刪除
2.啓動項清除
刪除註冊表啓動項
問題項如下:
鍵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Adobe System Incorporated 值:C:\Users\ADMINI~1\AppData\Local\Temp\Adobe\Reader_sl.exe 鍵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Jynanj 值:C:\Users\Administrator\AppData\Roaming\Identities\Jynanj.exe |
多次此時,鍵值可能會不同,如部分機器是JYnanj.exe但是我機器測試的時候就是Htgcgj.exe,所以在這部分的時候,建議將不認識註冊表項全部刪除。
取消(如下並不一定一摸一樣是Htgcgj,可能是別的名稱)
3.殺死進程
因爲其注入了svchost.exe(該進程在注入完了以後自毀了)、notepad.exe兩個進程,所以找到殺死即可。
4.確認完成
最後再次重啓以後看進程是否含notepad.exe進程,且訪問外部IP,如果沒有那就說明清除成功,也可將優盤格式化以後進行拔插嘗試再次進行確認。