【回复“老菜拉”的帖子】
这个木马每次感染系统生成的木马文件名都不同。第一次感染系统在C:\windows\system\下创建services.exe。第二次感染系统木马文件名变成了csmss.exe。
查杀方法：

一、结束那个指向C:\windows\system\services.exe的进程services.exe。
二、删除C:\windows\system\services.exe
三、删除注册表中的启动加载项：

定位到：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："internet"="\"C:\\windows\\system\\services.exe\""
四、注册表篡改还涉及防火墙的防护规则（我的TPF被加入了两个注册表键值）。你用什么防火墙，可以自己看看。我是这样改的：
定位到：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

删除："C:\\WINDOWS\\system\\services.exe"="C:\\WINDOWS\\system\\services.exe:*:Enabled:POCO"
定位到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

删除："C:\\WINDOWS\\system\\services.exe"="C:\\WINDOWS\\system\\services.exe:*:Enabled:POCO"

四、其它注册表项的改变是TXT文件关联等。请用注册表修复工具修复注册表。