乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > 下载一个“重复文件清理工具”,我的电脑差点报废——安全模式+火绒绝地求生

下载一个“重复文件清理工具”,我的电脑差点报废——安全模式+火绒绝地求生

当前时间: 2026-06-15 18:50:09 更新时间: 2026-06-15 分类:软件教程 评论(0)

下载一个“重复文件清理工具”,我的电脑差点报废——安全模式+火绒绝地求生

一、起因:一个虚假的重复文件清理工具

几天前因为需要清理电脑中的重复文件,在搜索引擎的引导下进入了 https://www.duplicatecleaner.hl.cn/ 这个网站,下载并安装了所谓的“Duplicate Cleaner 中文版”。

安装过程没有弹出安装界面,我还以为没有安装成功,但操作后没多久,系统就开始出现异常。

起初我只发现了一个名为 l3ibdy.exe 的陌生进程,以及一个名为 2zoHHQ 的文件夹,里面包含了 l3ibdy.exeadoresd.datmsadox.tbUxEnhance64.dll 等文件。随后我发现浏览器也被劫持了,杀毒软件的官网打开失败,表明电脑感染了相当棘手的恶意软件。

二、病毒的顽固性表现

在尝试清除的过程中,这个病毒展现出了远超普通流氓软件的“自我保护”能力,主要有以下几点:

1. 文件无法手动删除

无论在正常模式还是安全模式下,直接对 2zoHHQ 文件夹执行删除操作,都会提示 权限不足 或 文件被占用。即使使用 takeown 和 icacls 命令行工具强制夺取权限,也无法成功删除。该病毒通过驱动级文件保护,将自身锁死在系统中。

2. 精准拦截安全软件

感染后,火绒安全软件、联想电脑管家均无法打开,双击后无任何反应或提示错误。当试图访问这些杀毒软件的官网时,浏览器也会被劫持并阻止访问,显然是病毒主动将主流安全软件的域名加入了黑名单。

3. 对 360 安全卫士“区别对待”

在测试的安全软件中,360 安全卫士可以正常打开和运行。当我使用 360 进行全盘扫描时,它完全扫描不出该病毒。推测病毒作者早已摸清 360 的查杀机制,做了针对性免杀,或者干脆将其加入白名单,以麻痹用户。

4. 安全模式下的对抗

进入安全模式后,病毒的部分组件依然加载,手动删除仍受阻拦,360 在安全模式下依然无法发现该威胁。

三、尝试过的无效方法

在最终成功之前,我几乎试遍了所有常规与进阶手段,均宣告失败:

  • 普通模式下手动删除
    :权限不足。
  • 命令行强制夺权删除
    takeown + icacls 执行后仍然 Access Denied
  • 使用 LockHunter 解锁删除
    :无法解锁,驱动无法加载。
  • 安全模式下直接删除
    :依旧被占用或权限不足。
  • 安全模式下运行 360 全盘查杀
    :扫描结果干净,无任何报毒。

至此,几乎陷入绝境。

四、最终解决方案:安全模式 + 火绒

我在安全模式下成功打开了火绒安全软件,并成功检测到病毒。

重点操作步骤:

  1. 进入安全模式 按 Win + R 打开运行窗口,输入msconfig并回车。切换到引导选项卡,勾选安全引导,可选择 最小(普通安全模式)、网络(带网络)等模式。点击 应用 > 确定,系统提示重启,下次开机将自动进入安全模式。

  2. 安装并运行火绒 在安全模式下,火绒杀毒软件成功启动(可能是病毒在安全模式下的拦截机制不完善),打开后立即更新病毒库至最新。

  3. 全盘查杀 火绒在 C 盘和 D 盘同时扫描,并定位到了 2zoHHQ 文件夹及其关联的恶意驱动、注册表项、启动项和计划任务。

    查杀结果中包含了:

    • Trojan/Generic!XXXXX
      (核心木马)
    • 恶意广告模块
    • 浏览器劫持脚本
    • 自保护驱动

  4. 清理与重启 火绒一键处理所有威胁后,再手动检查 2zoHHQ 文件夹,发现已经被火绒彻底清除。重启电脑,一切恢复正常——浏览器不再被劫持,其他杀毒软件也能正常打开了。

五、总结与反思

病毒特点总结

  • 来源:假冒知名软件的中文捆绑站。
  • 自我保护极强:驱动级文件保护 + 进程保护 + 安全软件黑名单 + 安全模式下存活。
  • 定向免杀:对 360 完全不可见,对其他杀软则暴力拦截。
  • 顽固程度:手动、工具、安全模式下均无法删除,几乎只能依赖未进入其黑名单的杀毒软件在安全模式下查杀。

经验教训

  1. 下载软件务必校验来源
    ,远离 xxx.hl.cn 这类仿冒网站,尽量从官网或可信应用商店获取。
  2. 不要迷信单一杀毒软件
    ,尤其当它“异常安静”时更要多留一个心眼。
  3. 安全模式 + 可更新病毒库的杀软
    ,是处理顽固 Rootkit 的黄金组合。

六、给遇到类似问题的读者的建议

如果你也下载了该网站的程序,或电脑出现了 l3ibdy.exe 等随机名进程、安全软件打不开、浏览器被劫持的现象,不要浪费时间手动删除,直接按以下步骤操作:

  1. 使用电脑下载 火绒安全软件 最新版,点击安装。
  2. 重启染毒电脑进入 安全模式
  3. 打开火绒,更新病毒库,执行 全盘扫描 并处理全部威胁。
  4. 重启后,用火绒的 专杀工具 再扫一遍,确保无残留。

整个过程无需重装系统,数据零损失。

七、后记

此次感染的直接来源是 https://www.duplicatecleaner.hl.cn/

安装时间为 2026 年 6 月 7 日。当时该网站可以正常访问,安装包下载链接有效,页面也没有任何浏览器或安全软件的拦截警告,非常具有欺骗性。

然而,仅过了不到一周,2026 年 6 月 13 日我再次尝试访问该网站的下载链接时,发现浏览器已经将其标记为 “危险网站”,部分安全软件也提示该域名含有恶意内容。这说明安全厂商的威胁情报库已经在较短时间内作出了响应,将这一恶意分发站点纳入了黑名单。

这也提醒我们,对于新出现的仿冒软件站,安全社区的响应可能存在数日甚至更长的窗口期。在这段时间内下载并运行未知来源的程序,无疑会将自己暴露在相当大的风险中。保持警惕、坚持从官方渠道获取软件,是保护系统安全的最基本也是最重要的一环。

本文旨在记录真实经历,帮助同样踩坑的朋友快速脱困,也再次提醒:珍爱系统,远离来路不明的下载站。