摘要：本文接对一次木马的分析和处理一文来写，上次主要写了对linux下的病毒木马的处理，这次来记录下对windows木马的处理。

发现木马

最开始是在内网的安全设备上发现某台机子频繁的扫描网段的445端口，于是登上这台机子看两眼。

1. 第一步

   以管理员模式运行一个cmd窗口，然后运行 netstat -anot | findstr 445 命令，获得病毒的进程号，这里假设进程号为6666。

2. 第二步

   tasklist | findstr 6666 查看进程对应的名字，这里假如为bingdu.exe。

3. 第三步

   以管理员模式运行任务管理器，然后根据进程对应的名字找到进程，右键 打开文件所在的位置，定位到木马文件所在目录。

清除木马

1. 第一步

   先使用autorun软件查看启动项，看看有没有可疑的启动项，特别是那些没有签名的。有的话就取消了它。

2. 第二步

   直接使用taskkill /pid 6666，然后快速把找到的病毒文件给删除了，手速要快。

3. 第三步

   如果第二步手速不够快，重启下机器试试能不能删除，可以删除的话game over。如果还是不能删除，自己进安全模式或者pe环境下慢慢删除。

记录下两次发现的木马

这两次发现的木马均为利用445端口的木马。

木马1:

//病毒类型1
服务名称为mssecsvc2.0
//病毒文件 
C:\Windows\tasksche 
C:\Windows\qeriuwjhrf 
C:\Windows\mssecsvc

木马2:

//病毒类型2
服务名称为wmassrc
病毒文件
C:\Windows\SpeechsTracing\Microsoft
C:\Windows\SpeechsTracing\spoolsv.exe
C:\Windows\System32\EnrollCertXaml.dll
C:\Windows\System32\HalPluginsServices.dll //这个文件分析不出来
C:\Windows\System32\wmassrv.dll

常用的命令

在windows下dir命令可以用来查走找病毒文件，类似于linux下的find命令。

//查找C盘下的文件名里含有iuwj的文件。
cd C:\
dir /od /s /a "*iuwj*"