病毒进程 yzszZxzx.exe 手动结束后马上自动复活
病毒进程 yzszZxzx.exe 手动结束后马上自动复活,已用360扫描未根除。感谢提供这些截图,情况已经比较清晰了。
先说结论:你之前看到的 yzszZxx.exe 是一个伪装的高风险木马,但它所在的 C:\Serrvoulgsfwzxlvqzs 文件夹,与正常的“浙江平易/浙江税友”软件的文件夹(C:\Servyou、C:\Seryou)非常相似,很可能是攻击者故意混淆视听。
1. 高风险木马 (yzszZxx.exe) 确认
这张截图里虽然没有直接显示 yzszZxx.exe,但从之前那张进程截图看,它明确运行在 C:\SerrvoulgsfwzxlvqzsZxx.exe。这个路径名完全是随机字符,是木马的典型特征。这个文件必须删除。
2. 主要发现:正常的报税软件
截图中 C:\Seryou 和 C:\Servyou 文件夹里的文件(EPBrowser.exe、DaemonInstaller.exe、Serveroubgup.exe 等),都来自浙江平易信息技术有限公司(浙江税友)。这是一家为税务局提供电子申报系统的正规公司,很多企业都用它的软件报税。所以这些文件夹里的内容基本是安全的。
3. 推测的攻击过程
1. 攻击者入侵了你的电脑。
2. 为了隐藏木马,他们创建了名字与正常税友软件(Servyou)非常相似的随机文件夹(Serrvoulgsfwzxlvqzs)和木马文件(yzszZxx.exe),试图让你误以为是报税软件的一部分。
3. 木马运行后,在任务管理器里显示为“软件更新”,进一步迷惑你。
后续行动步骤
请按顺序操作,保护好重要资料:
1. 保持断网:拔掉网线或断开WiFi,阻止木马向外传输数据。
2. 立刻备份重要资料:将你的文档、图纸、代码、数据库文件(注意看手工备份恢复数据库说明.txt里的提示)等个人文件,复制到一个未在此电脑上使用过的、干净的U盘或移动硬盘。不要备份任何 .exe、.dll、.scr 文件。
3. 全盘杀毒:使用360杀毒进行“全盘扫描”,并启用“系统急救箱”强力查杀。特别注意要清除木马 yzszZxx.exe 和可疑的 updateSipao.exe。
4. 手动检查并清理:杀毒后,检查 C:\ 根目录下是否还存在名字很随机的文件夹(如 Serrvoulgsfw...)。如果360没有自动删除,可以手动删除整个 C:\Serrvoulgsfwzxlvqzs 文件夹。
后续安全建议
· 修改密码:用另一台确认安全的设备,修改你的重要账户密码。
· 保持警惕:不要在办公电脑上安装不明软件,也不要点开可疑链接或邮件附件。
· 定期备份:重要资料一定要定期备份到其他地方。
---
如果杀毒后电脑运行正常,那就没问题。如果文件出现乱码或打不开的情况,可能是遭到了勒索病毒攻击,需要更复杂的处理,我们可以到时候再看。 360检测不到这个病毒,请问怎么办? 360检测不到这个病毒,怎么办? 加您的微信了,我需要看下具体的现场环境
页:
[1]