被system.exe虐了

    今天被system.exe虐了，不知道为什么机子很卡，然后硬盘一只在转，估计一直在读写，重启了几次电脑都一样。还好懂得到安全模式下，因为安全模式下的进程和服务都启动的比较少，都是核心的进程。因此也就没有触发病毒。然后把之前很懒删除的桌面好好整理了一番，该删的全都删掉了。寄希望在把桌面收拾干净些后，就可以用了，但发现还是不行，就有点担心了，这要是重装电脑可是受不了的。后来就想到一进入Windows就开任务管理器，看看到底是哪个process捣的鬼，然后就发现system.exe。
    然后就去搜索了system.exe，发现它是个木马，可怕。。。想起盗号就可怕，恶心的是，估计这东西发展发展会有好几种变形，网上看到的版本有多种，但都不是自己的那种，然后就当是学习下计算机基础知识了。
任务管理器调出进程ID,写入字节数，这样可以观察到一些BT的P2P软件在写数据等，还有，就是taskkill Process的时候，可以使用/f把父进程的ID号给看到，根据这个就可以知道双进程守护的system.exe的另一个进程的ID，然后就可以知道它的name了，可问题在于，你都卡的动不了，内存资源等，全被占了，你还怎么去看啊。。。
    可以通过Process Viewer去看进程，可以看到更完整的进程，比起msconfig要完整，可以看到explorer.exe，还知道原来system.exe是这歌进程的子进程，然后难怪一开机，就卡住了。
    把system.exe删掉之后，开机后又生成了，找不到另一个进程的位置，这个进程隐藏的可真好啊，后来我把自动启动项里的项全给删除了，然后就好了，估计是TPOSDSVC.exe，这个进程上网查出来的是ThinkPad的什么热键什么的，还有他们还在c:\windows下放ctfmon.exe和svchost.exe，但不知道是不是跟这个有关系了，后来用360系统急救箱做了个整体的扫描。发现了不少的Autorun。
    启动项的那个注册表是在H_L(C)_M(U)/software/microsoft/windows/currentversion/Run
    还是电脑干净点的好啊~~可怕哎~