循序渐进 教你揪出伪装并清除木马

青苗儿

        
       曾经陪伴我们多年的杀毒软件，面对日新月异的病毒和木马，它们显得很“单薄”，是乎很难再将其驱除出境，有的甚至连病毒及木马的存在都无法发现，更别提如何进行清除。因此有时利用手工检查及清除病毒，还是有必要的，本文以伪装成系统的Wmiprvse.exe进程木马为例，来对其木马的清除做以循序渐进的讲解。

　　某日笔者向往常一样，按住键盘上的“Ctrl+Alt+Del”键，将“任务管理器”打开，并且切入至“进程”标签。不过今日与以往不同的是，从“进程”标签里，却突然发现多出一个Wmiprvse.exe进程。于是利用百度搜索了一下Wmiprvse.exe进程的相关资料，给出的答案是wmiprvse.exe是微软Windows**作系统的一部分。用于通过WinMgmt.exe程序处理WMI**作，这个程序对你系统的正常运行是非常重要的。

　　 看到这里相信大家跟笔者的想法一样，觉得这是一个正常安全的程序进程，于是笔者也没当回事，又开始了自己的网游“生涯”，但是好景不长没过多久，电脑开始自动重新启动，而且之后又断断续续的重启了几回。在没有任何可怀疑的对象处，笔者选择利用系统的搜索功能，来查看一下这个突然出现的Wmiprvse.exe程序文件，结果却出现了两个同样的Wmiprvse.exe文件并存的现象(图1)。

　　

   
           仔细观察一下，发现两个程序文件大小相同，不过有个Wmiprvse.exe文件在Windows2目录下，接着进一步看了两个文件夹的创建时间，Windows2确实是在自己重装系统时间内，所以两个都是系统目录，只是前一个在最后一次没有删除干净。此时笔者再打开“任务管理器”对话框，发现系统里存在两个Wmiprvse.exe进程，分别由不同权限的用户运行。于是上网又查了查资料，里面说位于\System32\wbem文件下的文件才是正常的文件，换句话说没有直接删除的Windows\System32\wbem下的Wmiprvse.exe文件是病毒文件。接着笔者在“任务管理器”对话框内，将其进程停止后，又进入到了该进程文件夹内，将其病毒文件删除。本以为病毒就这样被消灭了，还没等笔者重新启动，也就过了十分钟左右，这个病毒进程又出现在了任务管理器上。  

　　于是笔者下了狠心，抱着宁可错杀一个，绝不放过一个病毒文件的心理，再次停止该木马进程，将Windows2目录里的文件全部删除后，又在注册表编辑器里，搜索将相关键值进行删除，接着重新启动了一下计算机，然后打开“任务管理器”对话框，发现Wmiprvse.exe进程已经不见了，并且系统总自动重新启机的现象也以消失了，这样一来真假“美猴王”就见了分晓。如果你跟笔者一样碰到了伪装Wmiprvse.exe程序的木马，不如按照本文的思路将病毒清除，何必又采用费时费力的重装方案。

青苗儿

沙发自己占！！！

嗜血独狼

板凳支持

逐户

LZ，你文章里很多东西说的不清楚，WINDOWS2和WINDOWS没分清

zxl0222

现在植马技术也是非同凡响了。

水木

有些地方讲的不是很明白

wxg226

有icesword和wsyscheck在，还怕这个？？

于大学

现在植马技术也是非同凡响了

magicyh

看来我要经常注意我的系统进程了

冬桐

学习下了哦``