比尔盖子 博客

伪装360——记一次木马清除过程

今天比尔盖子早上打开电脑,发现桌面上多出了“淘宝网”的图标,Internet Explorer的位置也有些变化。于是怀疑中了恶意插件,想用批处理删除,不料完全没有作用!又仔细一看,发现开始菜单托盘处多出了“360安全卫士”,我可没装这个东西。看来是中了严重的木马了。

假IE和假"淘宝网"图标

因为本人比较懒,所以想下载一个真360干掉木马。于是用Firefox访问360.cn,无法连接!看样子是Hosts文件被修改了。

被恶意修改Hosts导致无法访问360官网

于是打算手工修复Hosts。但在比尔盖子打开文件夹选项,想“显示隐藏文件”时,发现这个选项已经不翼而飞!

“显示隐藏文件”的选项不翼而飞

没办法,只好通过“搜索”找到了Hosts文件,打开后发现病毒并不只是屏蔽了360官网,更有瑞星、卡巴斯基等等!

被恶意修改的Hosts文件,屏蔽了大量安全网站

立即将这些东西删除——希望这个木马不会自动再次修改Hosts。又下载了冰刃——对付骇客后门的好工具,果然发现了木马病毒的踪迹!

木马在D盘中,伪装成了360

立即结束进程!最后下载了360安全卫士,经过检测,结果触目惊心!

360体检结果

插件查杀结果

木马查杀结果

最后重启计算机,发现假360图标已经消失,确认木马彻底彻底清除后,卸载了360安全卫士。

Categories: IT生活

比尔盖子论坛被广告轰炸 » « 疯狂刷机——三星GT-I5508倒霉刷机经历

1 Comment

  1. JS/AdmedCrypt.A.gen是一个危险的一种木马程序,可以大力损害您的计算机,并删除其重要文件。如果留在你的电脑很长一段时间,然后就可以把它也没用。要知道更多关于去除您可以访问木马 http://www.Howtocleanspyware-cn.net

发表评论

Your email address will not be published.

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax

Copyright © 2017 比尔盖子 博客

匿名浏览:http://x4wttqqrkud5pttgqlpxgevtr4rbqpa6lkwdiw3o3m6q4deeldgq.b32.i2p
警告:残留有明网混合资源,访问前请自行屏蔽明网流量

Theme by Anders NorenUp ↑