在安装一个软件时,它的破解补丁里有一个木马,给安装了一个 Bright。
正常情况下,安装完毕后,在破解时,运行破解完毕后,可以把安装包和破解程序一起给删掉,可是这次不行。
现象是,破解程序启动的窗口在被我关闭后,仍然不能删除破解程序,这让我觉得有些意外。我在进程管理器里,找到了这个进程,并且把它给结束掉了。接下来,我删除了安装包和破解程序。
然而,还有些不正常,就是安装包和破解程序所在的文件夹不能被删除。真是奇怪,那个文件夹里已经空了,还不能被删除。不过,我还有办法,删掉这个文件夹。我启动了 Windows 11 自带的【资源监视器】,如下图所示:
图 1. 资源监视器
然后,按照图上的步骤,在搜索框里输入 文件夹 的名字 wav ,点搜索按钮后,就找到了占用这个文件夹的程序 tts*ex.e** ,找到后,把它结束了,如下图所示:
图 2. 资源监视器 wav
好了,现在我可以删掉 wav 文件夹了,
事情到此为止,还没有结束。后来,我在重启电脑时,发现 powershell*ex.e** 的黑窗口一闪而过,这在以前是没有过的。为了找到这个启动时自动运行的程序,我找了下面的有可能自动启动程序的地方:
- C:\Users\predator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- Windows 计划任务;
- 组策略里的【启动/关机脚本】;
- 组策略里的【登录/注销脚本】;
- \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
终于在上面的最后一项里,找到了木马启动项: explorer*ex.e**,powershell start-process -FilePath 'C:\Program Files (x86)\Bright\Bright*ex.e**' -ArgumentList '--silent' -NoNewWindow 。删了就可以了。隐藏得真深。