安全实例：遭遇“艳照门”木马

　　2、可疑的网络连接

　　在命令提示符下敲入命令：

　　 netstat-ano

　　查看网络端口连接情况，果然发现了两个可疑IP地址的端口连接：(图8)

　　　TCP192.168.131.72:1098116.20.215.181:8008ESTABLISHED1916
　　TCP192.168.131.72:1099116.20.215.181:2630ESTABLISHED424

　　这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开www.ip138.com查询，得知是广东省佛山市电信。(图9)

　　四、清除病毒

　　1、结束进程

　　在结束进程的发现这两个svchost.exe进程之间互相保护，当结束了其中的一个，另一个马上会重新新建一个。因此手工结束速度太慢，通过批处理命令来清除：

　　把如下代码保存为kill.bat，双击即可。

　　　@echooff
　　taskkill/f/pid1916
　　taskkill/f/pid424
　　exit

　　提示：其中的pid是随机的，一定要找到可疑的svchost.exe进程的pid，如果结束了系统启动的svchost.exe的话，系统就会关机或者重启。确定的方法，可以参考图8。