解决方法:用procmon监控文件目录,然后搜索readfile,查看除了explorer、dllhost、rentimebroker是否还有其它进程添加,查到proevhost进程也读取了文件添加加密进程即可
open in new window
open in new window