今天被system.exe虐了,不知道为什么机子很卡,然后硬盘一只在转,估计一直在读写,重启了几次电脑都一样。还好懂得到安全模式下,因为安全模式下的进程和服务都启动的比较少,都是核心的进程。因此也就没有触发病毒。然后把之前很懒删除的桌面好好整理了一番,该删的全都删掉了。寄希望在把桌面收拾干净些后,就可以用了,但发现还是不行,就有点担心了,这要是重装电脑可是受不了的。后来就想到一进入Windows就开任务管理器,看看到底是哪个process捣的鬼,然后就发现system.exe。
然后就去搜索了system.exe,发现它是个木马,可怕。。。想起盗号就可怕,恶心的是,估计这东西发展发展会有好几种变形,网上看到的版本有多种,但都不是自己的那种,然后就当是学习下计算机基础知识了。
任务管理器调出进程ID,写入字节数,这样可以观察到一些BT的P2P软件在写数据等,还有,就是taskkill Process的时候,可以使用/f把父进程的ID号给看到,根据这个就可以知道双进程守护的system.exe的另一个进程的ID,然后就可以知道它的name了,可问题在于,你都卡的动不了,内存资源等,全被占了,你还怎么去看啊。。。
可以通过Process Viewer去看进程,可以看到更完整的进程,比起msconfig要完整,可以看到explorer.exe,还知道原来system.exe是这歌进程的子进程,然后难怪一开机,就卡住了。
把system.exe删掉之后,开机后又生成了,找不到另一个进程的位置,这个进程隐藏的可真好啊,后来我把自动启动项里的项全给删除了,然后就好了,估计是TPOSDSVC.exe,这个进程上网查出来的是ThinkPad的什么热键什么的,还有他们还在c:\windows下放ctfmon.exe和svchost.exe,但不知道是不是跟这个有关系了,后来用360系统急救箱做了个整体的扫描。发现了不少的Autorun。
启动项的那个注册表是在H_L(C)_M(U)/software/microsoft/windows/currentversion/Run
还是电脑干净点的好啊~~可怕哎~