这几天查看系统进程发现有个陌生的进程b5541.exe，结束任务后过段时间又出来，估计不正常。升级瑞星病毒库到最新版全面查杀系统也没报警，搜索这个文件在c:\windows\system32里面找到这个文件，删除后过段时间也是自动恢复。

查看文件属性：

产品名称：Microsoft(R) Windows(R) Operating System

公司：Microsoft Corporation

内部名称：GrpConv

文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

想冒充微软的SP2补丁？

在注册表里查找，找到\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ms_2fax里面ImagePath的值为C:\WINDOWS\system32\b5541.exe

好象这个是打开我的电脑的时候会自动调用的个什么东东，不太明白，尝试修改值为c:\windows\explor.exe，哈哈，电脑乱套了，开个“我的电脑”窗口，就不停地打开“我的文档”，出现了100多个窗口！没办法只好改回去。

在网络上搜索，GrpConv好象是另外某个用于转换win3.1文件的系统程序。但是很明显这个文件不是，文件名也起得那么随机，肯定有问题。

在网上搜到有人用pe_xscan查出这个：

C:\WINDOWS\system32\b4591.exe * 15012 | 2007-10-22 10:11:28 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows Progman Group Converter | Copyright Zhongsou(C) 2005 | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | GrpConv|

很明显了，他那里是“b4591.exe”，我这里是“b5541.exe”，很类似，应该是同一种病毒，在自我复制的时候随机起的名字。

pe_xscan和HiJackThis都是系统安全检测工具，可以查看系统安全方面的进程调用情况，分析出可疑的地方，但是pe_xscan在网络上找不到下载，只找到HiJackThis，可惜功能不如前者，得到的分析报告也没怎么看出问题来。

今天跟这个病毒木马干了三个多小时还没解决，郁闷。

endurer.ys168.com这里有些不错的工具可以用。