准确的定位木马

netstat -ano|findstr "ESTABLISHED"

根据pid查询进程

 

tasklist /SVC| 2052

 

根据运行的exe文件查找对应路径

wmic process where name="javaw.exe" get ExecutablePath

C:\Program Files (x86)\Java\jre6\bin\javaw.exe

 

删除不了 结束进程

用vbs循环查杀进程

On Error Resume Next
do while 1
for each ps in getobject _
("winmgmts:\\.\root\cimv2:win32_process").instances_
if(ps.name="AliYunDun.exe" ) then
ps.terminate
end if
next
Wscript.Sleep 100
loop

 

重命名木马  然后删除