下错向日葵安装包，电脑中了毒，貌似还没清理干净

protel99se · 发表于 2026-3-3 10:05

昨天下午测试厂家的PLC产品连接不上，厂家要远程，我下载向日葵的时候一时大意，
没有点击必应搜索到的第一个连接，点了第三个连接，安装上后就CPU一直100%，
就这个域名oraypc.com.cn：

就这个安装包：

安装包详细信息：

安装后症状：任务管理器里面偶尔能看到名字为i1HtkyiH.exe的进程，能结束，但是结束后又出来，
打开文件所在目录，提示拒绝访问，三个“服务主机：本地系统”进程占用大量CPU，一直接近100%，
电脑巨卡，能安装360卫士，但是打不开，双击360快捷方式后没反应（我感觉这货能阻止打开杀毒软件）。

我的处理过程：
1，卸载安装的向日葵，重启，故障依旧；
2，PE进系统后发现桌面仍然有个向日葵快捷方式，右键打开所在目录，
发现是可执行文件的所在地，直接连文件夹带文件彻底删除；

3，正常进系统，CPU占用依然高，360卫士扫描，屁也扫不出来；清理、加速，发现可疑启动项，禁用之：

4，打开任务管理器，发现病毒打开了大量的网络相关服务，什么DNS client、Network Location Awareness、
Phone Service、貌似都是跟远程有关的，感觉我的电脑被远程了。
查看高占用CPU的服务，挨个处理，能停的停，能禁用的禁用。CPU占用终于正常了。

5，清理痕迹：Everything查看昨天安装软件时间点后的异常文件，
发现Windows目录下大量奇怪名字的批处理文件，时间点对得上，删除：

隐藏目录下有一堆东西，打开图片时被360拦截，360说检测到病毒，删除：

其他地方暂未发现啥，但是服务里面扔有不少奇怪名字的东西，
虽然停止了，但是禁止不了，：

不知道大家有什么建议？

sohuso · 发表于 2026-3-3 16:52

实在搞不定，就重装系统吧

HjiaLe · 发表于 2026-3-3 16:53

这种只是广告软件，平常卸载软件能清理的

xuehan9527 · 发表于 2026-3-3 16:53

重做系统吧

hurric · 发表于 2026-3-3 16:53

我刚刚下载了从解压包解出来 ESET都没有反应看来大家要小心了

387919 · 发表于 2026-3-3 16:58

这就是钓鱼网站，静态网站

protel99se · 发表于 2026-3-3 17:00

xuehan9527 发表于 2026-3-3 16:53
重做系统吧

来不及了，忙着呢，

wuloveyou · 发表于 2026-3-4 15:46

既然批处理都连服务和系统文件篡改创建了，我建议你把资料备份到一个空盘，然后C盘直接重做，完了安装杀毒，把备份资料的盘杀一遍毒就彻底无忧了，别再细细扣里面修改的系统文件了，我怀疑你的WIN下system32里面也被篡改了，重做吧还是

protel99se · 发表于 2026-3-4 18:06

wuloveyou 发表于 2026-3-4 15:46
既然批处理都连服务和系统文件篡改创建了，我建议你把资料备份到一个空盘，然后C盘直接重做，完了安装杀毒 ...

等星期天有空了重装系统

yun88 · 发表于 2026-3-30 11:07

官方下载的都这样吗？？？

帐号		自动登录	找回密码
密码			注册[Register]