撞见一种avp.exe木马

今天差点被一个木马杀败！

上午，一个客户端打来电话，说中毒了，让去看看。去了后发现确实中毒很深，于是一通狂杀，病毒基本给控制住了，系统归于平静。可有一个木马文件，只要一重启系统，进入桌面一会儿，就会赫然发现系统盘根目录下有一个avp.exe文件，打开系统进程管理器，会发现有一个相应进程，随着时间增加，进程数量会增多。我使出了浑身的解数，查进程、查启动项、查注册表，除了一个孤零零的此进程和根目录下一个文件外，没有任何可疑内容。后来发现这个进程是从1960端口来的，来后会调用系统上安装的文件，就想封了1960端口吧，可封端口后却发现网卡竟然不通了，天啊，这个木马用了什么招式？！没办法，只好又放开端口。还是不死心，进入系统分区，打开进程管理器，将进程停掉，再将相应文件删除，报着试试的心理，建了个同名文件，权限为只读，再次重启，熟悉的木马竟然没有出现！简直不相信自己的眼睛！真是柳暗花明啊。

幸亏木马不是百分百的智能化，否则我就惨了。