前几天因为乱抓网路上的乾净云，下载到了hao123新的绑架病毒…… 导致了我的Chrome和IE都被绑架和跟它奋斗的一个晚上 orz 这次我中的hao123绑架病毒比较特别，好像是比较新的变种病毒， 在网路上还没有多少讨论，所以发在这边给大家做相关的参考。 -- 那这次的绑架病毒除了会在chrome和IE的路径後面加上hao123的网址以外 （删除此路径没用）， 它还会在 C:\Windows 这个路径下新增 guardapi.dll 和 乱码的.sys 两个档案， 如图：http://i.imgur.com/DF4anwJ.jpg ， 这两个档案都被加密过，因此我的卡巴斯基扫不出来病毒。 guardapi.dll 和 生成的乱码.sys 的共同的特徵是修改日期是一样的， 仔细比对一下应该满容易找得出来。 然後在一般运作的模式下没办法删除，会显示运作中之类的， 用强制删除工具也会出现错误。 我的解法是进入安全模式 or Win PE系统下找出这两个档案删除後， 再用RogueKiller扫过一遍清除，重开机就恢复正常了。 -- 在这边要赞叹一下RogueKiller这个程式XD， 会发现这两个档案有问题是因为在用RogueKiller扫的时候， 扫到 guardapi.dll 时卡住不动。 觉得这档案大有问题，删除後再用RK扫， 扫完就看到有关浏览器的lnk都被绑架了，hao系列都跑出来了 囧， RK就帮我删除了这样XD。 希望以上会帮助到一些人～ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 150.116.50.10 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1486639785.A.215.html ※ 编辑: singlecelled (150.116.50.10), 02/09/2017 19:30:48