小黑記事本,真的很黑!!
小朋友不懂電腦安裝Mincraft 模組或某款解壓軟件(快解壓或易解壓)的時候,被捆綁安裝了很多亂七八糟的程序。其它都還好,比較容易卸載掉。其中最黑的就是小黑記事本。表面上是卸載了,但是留有后門或是木馬程序在系統中(HNote/HNShell64.dll for win 64)。而且該dll文件還刪不掉,總提示被其它程序打開。任務管理器-->性能-->打開資源監視器-->關聯句柄中搜索,居然找不到關聯該文件的進程。
無賴之下,打開安全模式,win 10進入安全模式的方法有點復雜,參考百度經驗:https://jingyan.baidu.com/article/fdbd4277f29bddb89e3f4896.html
直接刪除,仍然不行。不過這次提示是該文件已經被explorer打開。這就很奇怪了,我並沒有查看或打開該文件所在的目錄。再次搜索關聯句柄,發現一個叫dwm.exe的程序關聯了該文件,而且是一個DWM-1的用戶。嘗試kill dwm.exe,失敗。立即會啟動另一個同名進程。百度一下dwm.exe好像是微軟的一個系統進程。dwm是怎么關聯HNShell64.dll的呢?猜測是HNote把HNShell64.dll注入到了dwm的動態庫中,如果是真的,怎樣才能解除這種關聯呢?......
既然不能刪除,能不能把HNShell64.dll中的內容修改了,比如全刪,只寫個0到里面。嘗試了一下,仍然失敗。不能刪除,不能修改,能不能改個名字呢?這樣下次系統啟動的時候就不會加載該文件了。再次嘗試,居然成功了。於是重啟系統,終於能夠刪除了。
雖然刪除了,但系統中應該還是留有它的啟動接口。另外,這種方法,也可能是僥幸的,如果連名字都不能修改,這種方法就無效了。
總之,小黑記事本,就是TMD一流氓軟件,干這事的人,也不會是什么好鳥!詛咒他們!