一次木马遭遇战

路路

先申明，这个木马的目的可能并非恶意，但是我并不喜欢这样的东西在我的系统里。

朋友介绍一款解码器相信大家都知道My MPC，今天无意碰到，下载装上。装好以后试了一下，的确好用。不过在放了几段电影以后，我关闭播放器的时候，资源管理器死掉了。我是个很挑剔的人，不愿意看到这个，于是开始找原因。

首先发现进程列表里多了两个进程：capp.exe,IdnMail.exe
好了，这两个是我没见过的（我平时很关心系统里面什么进程在运行，暂时没用的我都会杀掉）。

我试着看看“添加/删除程序”里面给装了什么新东西：一个XXX中文邮（我并不否认它可能是来帮我的，但是我并不需要）。
我当然要卸掉它。很快，卸掉了。

回到进程列表，那两个东西没了，可是多了两个RUNDLL32和hookdll。要知道，RUNDLL32里面通常能藏脏东西（我平时的系统里面是没有这个进程的。大家别奇怪，我不用杀毒软件的，所以没有东西需要这个进程。一般的国产杀毒工具都需要这个载体。）

找到listdlls（我在网上找的一个工具，我用它看RUNDLL32和svchost着两个载体里面都藏匿了些什么。）看看此时rundll32里运行的什么东西。

结果还是和hookdll有关系的玩意。以往的经验告诉我，那个不应该存在。
于是，到google简单的查了一下，虽然不是病毒，也没人说“我要用hookdll”。
决定，杀。

仔细看了看它在做什么：捆绑了我所有的聊天工具，浏览器，资源管理器。
hehe，这样的东西，不是必不可少的，就一定要死。
pskill。

看到进程列表里没了，心里塌实了一些。
到system32下找到该文件，删除。可是删不掉。也就是说，它还在起作用。
好了，第二次listdlls。
发现还捆绑了MSCONFIG，可恶（我习惯删除/卸载前先把MSCONFIG里面的相关启动项禁用。）MSCONFIG刚才打开了还没关掉。也就是说，它可以不在进程列表里显示而处于运行态（越发让人讨厌，只有病毒才习惯这样躲藏）。

关掉MSCONFIG，再杀。再次进入system32删除，OK。
再试My MPC依然好用。留精华，去糟粕。

胜利告终。

今天关机前真实的记录。绝对原创。

安雅

我也碰到了, 介绍一个网站,http://www.emsisoft.de/de/, 可杀木马