查杀会自动消失的双进程木马¬

### 查杀会自动消失的双进程木马 #### 背景介绍 近期，朋友的电脑遭受了一种特殊类型的木马攻击。此木马能够自动复活，并且很难通过常规手段彻底清除。根据描述，该木马表现为“system.exe”进程，在被终止后能够迅速重生。进一步调查发现，这实际上是一种双进程木马——由两个相互依赖、相互守护的进程组成，其中一个进程（system.exe）被另一个进程（在此案例中为internet.exe）监控，一旦system.exe被终止，internet.exe就会将其重新启动。 #### 双进程木马的工作原理 双进程木马通常包括两个部分：主要木马进程和服务进程。服务进程的主要职责是监视主要木马进程的状态，一旦检测到主要进程被清除或终止，服务进程会立即采取行动，如重新启动主要木马进程，确保其持续运行。这样的设计使得传统的反病毒软件难以一次性清除所有木马组件，增加了查杀难度。 #### 查杀步骤详解 针对此类双进程木马，下面详细介绍具体的查杀方法： 1. **任务管理器PID标识的利用** - 打开任务管理器，通过“查看→选择列”勾选显示PID（进程标识符）。这一步非常重要，因为通过PID可以追踪进程间的关联。 - 终止已知的木马进程“system.exe”。此时，如果该进程能够自动复活，则说明存在守护进程。 2. **确定守护进程** - 使用`taskkill /im system.exe /f`命令强制终止system.exe进程。 - 刷新任务管理器，重新终止system.exe，记录下其PID。 - 通过PID查找创建system.exe进程的父进程，即守护进程。在这个例子中，system.exe的PID为1536，由PID为676的进程创建，进一步查证发现该进程名为internet.exe。 3. **安全模式下的清除** - 重启计算机并进入安全模式。 - 在安全模式下，使用搜索功能找到木马文件“internet.exe”。 - 删除“internet.exe”及其启动键值，确保其无法在系统启动时自动加载。 - 重新启动系统后，检查是否还有system.exe进程运行。如果没有，说明木马已被成功清除。 4. **预防措施** - 定期更新操作系统及应用程序，修复已知的安全漏洞。 - 使用信誉良好的防病毒软件，并保持其数据库最新。 - 避免打开来源不明的邮件附件或点击可疑链接。 - 对重要的数据定期备份，以防万一。 #### 总结 本文详细介绍了如何识别和查杀一种特定的双进程木马——system.exe和internet.exe。通过使用任务管理器的PID标识功能，我们能够找出负责复活system.exe的internet.exe进程，并在安全模式下彻底清除这两个木马文件。此外，文中还提供了一些预防措施，帮助用户在未来避免类似的问题。面对复杂的网络安全威胁，及时了解最新的防护知识和技术，对于保护个人和企业的信息安全至关重要。