今天偶然整理一些激活工具的时候突然遇到打开chrome主页被T999.cn劫持的问题,不用说肯定是中毒了,那么我们需要查杀,没有安装杀毒软件,所以用的Windows defender扫描的危险,结果扫描不到,然后看网络上的介绍说电脑管家能查杀出来,就安装了电脑管家,但是查杀找到了病毒文件的位置,C:\Windows\System32\drivers目录下,根据日期排序,基本上就能锁定了,然后博主不想用电脑管家来删除这个文件,但是直接删除又删除不掉,CMD的del命令也没法删除,这里研究了一下才知道原来是现在病毒除了伪装自己之外居然还修改了注册表,知道问题了,那么就是处理了,直接win+R打开运行输入regedit打开注册表编辑器依次打开HKEY_LOCAL_MACHINE - - > SYSTEM - -> CurrentControlSet - -> services 如图:
顺着这个目录下面去查找到目标病毒伪装之后的文件名相同的那个注册表节点,右键删除,然后重启电脑进入到病毒所在目录C:\Windows\System32\drivers删除掉对应的病毒文件即可解决。
因为木马伪装后的文件名字不固定。我这里的是Hyipte.sys,网络上说还有一个mssafel.sys,博主目前知道的就这两个,先写在这里给自己做个警示吧。