近日发现某电脑每晚会自动弹出定位到“gestyy.com/wPEFwy”“lktoday.ru”网址的弹窗。
刚开始怀疑是木马或者dll注入,查了一遍没发现木马。
于是检查开机启动项,最后在计划任务里面发现了异常。
首先在活动任务中检查还有“下次运行时间”的任务
检查一下弹窗时间和计划任务的时间一致的任务,比如我这是SVC UPDATE任务
在这个任务的操作选项里面很明显的可以看到它用explorer打开了一个网址。
所以方法很简单,将这个任务点右键删除即可。
经查证发现是因为不小心安装了网上所谓“KMSpico10.2.2”版本的激活程序,这些程序一般有木马或者挖矿程序注入,而且卸载后还有残留这类的弹窗,需要手动删除。
经了解KMSpico发布者只在某论坛发布,且最后版本为10.2.0