运行top命令，发现有奇怪的进程

find / -name COMMAND一下

杀了进程kill -9 PID

继续find / -name COMMAND一下,嘿!没了!

如果就这么结束了，显然就不必要这么记一下了。

------------------------------------------------这是一条杀不死的分割线------------------------------------------------

top一下，很显然多了另一个进程，木马果然没那么容易杀死。无论是kill掉进程还是删除木马文件还是删除启动文件，其他的都会被删除，然后生成一个文件名完全不同的进程和对应的木马文件及启动文件。

find / -name COMMAND一下，和第一次一样会有两个文件

 cat一下，这个是开机启动文件，开机时会执行/usr/bin/clmsgagkvc这个文件。

 

第二个文件cat一下，屏幕一片花花绿绿，是个很大的文件，就是木马文件了。

find /usr/bin -size +600  #查看/usr/bin目录下大于600k的文件，会发现好多奇怪的文件

。。。

经过一系列斗争，我选择重装系统。。。