在虛擬機裏面，偶然發現CPU占用居高不下，打開任務管理器，發現有多個 wozhuan.exe 進程，這是個我從來沒有見過的進程，順手卸載後，沒過多久，結果又出來了，可以判斷，這肯定是虛擬機中獎了。中獎的原因，應該是我測試某軟件的時候，下載的版本被動了手腳。排查的過程比較漫長，因為比較忙，斷斷續續排查了很多次，所以沒有留下操作圖片。所以只能概述了。

wozhuan.exe會自動加入開機啟動，會在windows下創建計劃任務，會寫註冊表，會在C盤關鍵位置留下下載下來的可執行文件。

1、在任務管理器中，結束【wozhuan】進程；

2、禁止開機啟動；

3、刪除對應的任務計劃；

4、卸載【我賺.exe】；

5、以【wozhuan】為關鍵詞，在C盤中搜索文件，並把搜到的文件全部刪除；

6、以【wozhuan】為關鍵詞搜索註冊表，並把所有搜到的項或者值刪除。

以上6種常規動作完成後，過幾個小時或者下次開機，【wozhuan.exe】又幽靈一般復活了……

最後還是借用了某大數字軟件幫助檢查，最後檢查到了下面這個文件：

C:\WINDOWS\system32\bthsertk.dll

刪除這個文件後，又重新檢查了以上6個步驟，確信已經刪除幹凈，然後再去檢查C:\WINDOWS\system32\bthsertk.dll確實已經刪除。

從那以後，wozhuan.exe再也沒有回來，應該是徹底卸載和刪除了。

卸載和刪除wozhuan.exe