背景

因为单位域策略原因, 电脑安装了火绒杀毒软件;之前一直用的好好的; 近期忽然一直报木马病毒;

战斗序章

于是，开始各种电话。公司客服、信息中心客服 一顿打，最后一个专业老大哥告知说，我的电脑被检查出有病毒或者有一些攻击行为；mac被封了；需要自己排查问题之后，走一个解封流程。。。。
借着同事电脑走完解封流程后，火不打一出来啊。这小病毒，这么些天我不管你，你也老巴实的待着就得了；占点资源不管你，但是你在后台给我搞那个偷摸的东西，实在忍不了，盘他！！！

相互试探

最开始的手段很直接：火绒、windows defener 两大杀毒软件全盘扫描，N个小时的等待，喝咖啡喝的上来N次厕所，终于结果出来了：0威胁；正当我感叹 “公司后台这么牛逼的吗程就给我杀了吗的时候，亲切的病毒提示又来了……
当时我的心里历程是这样的，杀毒软件杀了这么多次，还没弄干净，也不在乎这一次了；不如先留着他,慢慢折磨……经过一番思考，鼠标慢慢的移向了“暂不处理”按钮；

看了一下杀软给的病毒路径；在C:ProgramData目录下多了一个winlongon.exe文件，通过我对win的了解，这个东西是win的用户登录相关的进程，应该在C:WindowsSystem32路径的；现在出现在了这个莫名其妙的地方,而且创建日期就是几分钟之前，好了，就你了；不过转念又一想杀毒软件杀了这么多次，每次都删掉这个文件，也没发现有什么效果，这个文件应该是病毒的基地，只是干活的地方，并不是病毒本身；

战斗高潮

基于上边的猜想，算是有门道了，虽然我找不到你病毒在哪，先来个釜底抽薪，你背着我干一些苟且的事情，我就趁你出去干坏事的时候烧了你的老窝，把你后路断了；你不是会生成这可执行文件吗我先建一个一样的，老子让你生！！ 生个篮子！

于是 在C:ProgramData 文件夹下建了一个同名的 winlongon.exe 文件，堵住了他的后路，正在安枕无忧地找解决办法的时候；大概半个多小时，病毒提示又来了！！！
不对啊，我把他老家都抄了，他咋还来同样的路径,同样的味道……它竟然把我建的那个文件删了，在废墟之中重生……
好！你牛逼！不过，你有张良计，我有过墙梯啊。于是，重新找到那个文件，重新删掉,重新建了一个同名文件，然后,右键打开属性，默默的勾上了只读…… 哈哈哈哈哈 你再牛逼啊

点完确定, 世界清净了;

打扫战场

首先各种查资料,发现是通过445端口传播的；
netstat一下，发现还真开了445端口；于是 关掉它；

后来，因为工作紧张，打扫战场的工作暂时搁后；病毒也一直存在我的电脑上，但是经过一番博弈之后，病毒提示再也没出现过了； 心里清爽多了

来源：殷丶商