卸載和刪除wozhuan.exe
阿新 • • 發佈:2018-08-17
.exe 原因 window 測試 exe 排查 關鍵詞 留下 應該
在虛擬機裏面,偶然發現CPU占用居高不下,打開任務管理器,發現有多個 wozhuan.exe 進程,這是個我從來沒有見過的進程,順手卸載後,沒過多久,結果又出來了,可以判斷,這肯定是虛擬機中獎了。中獎的原因,應該是我測試某軟件的時候,下載的版本被動了手腳。排查的過程比較漫長,因為比較忙,斷斷續續排查了很多次,所以沒有留下操作圖片。所以只能概述了。
wozhuan.exe會自動加入開機啟動,會在windows下創建計劃任務,會寫註冊表,會在C盤關鍵位置留下下載下來的可執行文件。
1、在任務管理器中,結束【wozhuan】進程;
2、禁止開機啟動;
3、刪除對應的任務計劃;
4、卸載【我賺.exe】;
5、以【wozhuan】為關鍵詞,在C盤中搜索文件,並把搜到的文件全部刪除;
6、以【wozhuan】為關鍵詞搜索註冊表,並把所有搜到的項或者值刪除。
以上6種常規動作完成後,過幾個小時或者下次開機,【wozhuan.exe】又幽靈一般復活了……
最後還是借用了某大數字軟件幫助檢查,最後檢查到了下面這個文件:
C:\WINDOWS\system32\bthsertk.dll
刪除這個文件後,又重新檢查了以上6個步驟,確信已經刪除幹凈,然後再去檢查C:\WINDOWS\system32\bthsertk.dll確實已經刪除。
從那以後,wozhuan.exe再也沒有回來,應該是徹底卸載和刪除了。
卸載和刪除wozhuan.exe