7月12日所有没设防护的机器都中木马
C:\Windows\conhost\conhost.exe
保护木马程序。 先用火绒剑结束进程树。
C:\Windows\Fonts
木马在这个路径下面,因为使用了隐藏。Windows 资源管理器查看不到,使用火绒剑提取备份删除。
![](https://img.haomeiwen.com/i12035125/fd3a7d92034895a9.png)
C:\Windows\reg
删除三个文件
back.exe
cmd.bat
registery.reg
使用火绒修复shift劫持后门
![](https://img.haomeiwen.com/i12035125/74ff6ac454dcd046.png)
administrators组删除 除administrator用户其他管理员 并修改administrator 密码
这两步可以不做,因为木马已经清除了。
删除启动项里的计划任务
![](https://img.haomeiwen.com/i12035125/f3d79b2c8b0523cf.png)
删除服务项里的启动木马的服务。
sc delete SQLService
sc delete update
![](https://img.haomeiwen.com/i12035125/0e7a1f386f9ab534.png)
最后使用 火绒 + 360杀毒 全盘查杀一遍,重启机器完毕
网友评论