在虚拟机里面,偶然发现CPU占用居高不下,打开任务管理器,发现有多个 wozhuan.exe 进程,这是个我从来没有见过的进程,顺手卸载后,没过多久,结果又出来了,可以判断,这肯定是虚拟机中奖了。中奖的原因,应该是我测试某软件的时候,下载的版本被动了手脚。排查的过程比较漫长,因为比较忙,断断续续排查了很多次,所以没有留下操作图片。所以只能概述了。
wozhuan.exe会自动加入开机启动,会在windows下创建计划任务,会写注册表,会在C盘关键位置留下下载下来的可执行文件。
1、在任务管理器中,结束【wozhuan】进程;
2、禁止开机启动;
3、删除对应的任务计划;
4、卸载【我赚.exe】;
5、以【wozhuan】为关键词,在C盘中搜索文件,并把搜到的文件全部删除;
6、以【wozhuan】为关键词搜索注册表,并把所有搜到的项或者值删除。
以上6种常规动作完成后,过几个小时或者下次开机,【wozhuan.exe】又幽灵一般复活了……
最后还是借用了某大数字软件帮助检查,最后检查到了下面这个文件:
C:\WINDOWS\system32\bthsertk.dll
删除这个文件后,又重新检查了以上6个步骤,确信已经删除干净,然后再去检查C:\WINDOWS\system32\bthsertk.dll确实已经删除。
从那以后,wozhuan.exe再也没有回来,应该是彻底卸载和删除了。