## 流氓行经

这几天电脑上突然自动安装pptv,金山毒霸清除了也不管用,

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

卸载了pptv过一会又自动安装上了,太嚣张了哈。

## 监控进程跟目录变化

接下来使用 ProcessMonitor 监控进程,下载地址 https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon#download

DirectoryMonitor监控 C:\Users\cucker\AppData\Local\Temp 目录变化  (这个监控不用也行)

## 查看监控记录,分析原因

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

## 查看C:\Program Files (x86)\kingsoft\kingsoft antivirus\kupdata.exe,居然被替换成了pptv的loader下载程序,

内鬼终于找出来了。

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

## 再查看IE浏览器插件

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

在显示框下选择其他类型的查看下有没有与pptv相关的插件

PPTV(pplive)_forap_1084_9993.exe 木马清除经历-LMLPHP

## 清除方法

* 关机,用户PE系统进行电脑,把 C:\Program Files (x86)\kingsoft\kingsoft antivirus\kupdata.exe删除掉,并把kupdata.exe0 生命为 kupdata.exe。重启电脑

* 卸载pptv

* 把IE浏览器中与pptv相关的插件先禁用,右键组件,点击详细信息,复制类ID,到注册中去搜索,把相关的都删除掉

* 删除C:\Users\cucker\AppData\Local\Microsoft\Windows\INetCache\IE\VM2BKQ8E 目录

* 重启电脑

04-22 22:29