上次说到中木马后把电脑带到公司,让同事帮忙处理了下,回来再没在system32下发现可疑文件夹,还以为从此就一劳永逸了。可是,情况似乎并不是我想象的那么乐观。
今天每次开机后,打开IceSword查看端口状态,总是发现有一个TCP连接连向一个IP,查了下那IP是扬州的(当时我还暗想这是不是跟博客园的cookies有关呢,dudu不是扬州的吗,汗),进程程序名称那显示的是svchost.exe。然后根据进程ID查服务,发现一个服务名字很奇怪,叫esxrwm,服务描述是microsoft .net framework TPM。上网搜索esxrwm,居然搜不到结果,就觉得有点疑惑,在msconfig里试着禁止,但是进程里还是有这个服务,重启电脑后还是有,看启动项发现虽然这个服务前面没有对勾了,但是后面显示的还是正在运行状态,还以为错怪它了,这是受系统保护的呢。后来进services.msc,发现这个服务的路径居然是C:\WINDOWS\system32\svchost.exe -k esxrwm,觉得不对劲,就点禁止,可是马上就又成了自动状态。修改注册表也是修改完之后马上变回原来的样子。于是进安全模式,再禁止这个服务就成功了,然后把注册表里所有关于esxrwm的全部删除,但是有个LEGACY_ESXRWM目录下有两个数值无法删除也无法修改,试了好几次都不行,就放弃了。然后重启电脑,再看端口状态,发现所有的端口都正常啦,哈哈。只是不知道明天会不会又有新的异常出现,因为注册表里还有三处跟这名字有关的地方没有删掉。。。愿上帝保佑我吧,也但愿频繁蓝屏的局面能因此得到改观。
来源:https://www.cnblogs.com/diandian/archive/2008/06/26/1230772.html