如发现有乱码，请点击下面链接浏览原文
正文摘录:

17iles＼kao.rcg”的内容，而第二处是图4中的右边部分，很可能还仃侄文件“c：＼ProgramFiles＼InterrletExplorer＼l()adi~!.cxe”。我开始在资源管理器里寻找，在c：＼ProgramFiles目录下终于找到了kao_reg文件。查看其内容，发现与图4左边的内容一样，里面有一个添加到系统启动项位置的文件C：＼ProgramFiles＼InternetExplorer＼loadie.exe，但不知为什么在系统注册表中没有成功添加上，可能是导人命令“regedit／s”后面的路径错误或者是因为空格存在的原因吧。在C：＼ProgramFiles＼InternetExplot_er目录下，也确实仔赴loadie.exc文件，但是大小与wm.exe都是25K。我使用uE的文件比较功能进行了一下二进制比较，确定都是同一个文件。唉，转了半天，又转了回来，线索断了。我正郁闷着，突然鼠标自动变成了后台运行状态，好长时间才变过来，一定是木马在做坏事。我连忙打开冰刃查看进程，发现多了两个可疑进程，如图5。我记下了它们所在的目录“c：＼Program这是mh1.exe程序用束完成自我销毁的批处理文件，以前总是不明白那些木马是怎么完成自我销毁的，现在总算知道了，又学到了一招儿。查看系统启动项，发现里面也多了两个可疑分子，如图7。rundlI32.cxe表面上倒是无法判断是不是仔在问题，但可惜的是这两个文件的路径都不对，一下子就暴露了自己的身份，网为正常的rundll32.exe文件应该在／system32以及／system32／(川cache目录下的。再次查看IE缓存，发现里面也多了5个与图6中相同的文件，如图8。图8可以肯定木马不是在一两个目录下面存在的，要是这样毫无目的的去手动查找，想尽快把病毒全部找出来几乎是不可能的，于是我考虑使用windows自带的搜索功能来进行查找，这种方法虽然显得有点笨，但效果明显。只要知道大概的中马时间，在系统盘(其它盘也可能有)下搜索指定时间段的所有文件，然后按时间进行排序，病毒文件基本上就会摆在我们面前。在查看搜索结果前，最好事先通过其它途径(可疑进程、系统服务或启动项)得到尽可能多的病毒文件路径及文件名，查看时就找这些文件及附近的文件，因为木马和病毒一般都很小，传播很快，因此文件的创建几乎是同时完成的，所以排序时文件会排在一起。查看结果时要多留意隐藏、系统、只读属性的