#最近我用来实验各种奇奇怪怪的工具的Win7虚拟机总是伴随启动一个"chrome.exe"的进程，然而机器里却从未装过google浏览器

　首先定位到该文件：

#症状:

　　1.路径:  C:\User\***\AppData\Romaing\chrome.exe，让人很烦闷的是如果结束该进程会直接给蓝屏，未免太嚣张。

　　2."netstat -ano"查看进程端口开启和连接，没有发现有联系上该进程的(也许是某个老版黑客工具弄的，现在没人管理了).

　　3.查看启动项发现有多处被添加该exe文件.

#进入安全模式，注册表搜索"chrome",出现大堆相关表项

　　并且注册防火墙策略

　　特别的，在启动项区发现相关字符串"d367e43651a1cef4a18fb38335c8460c"

　　以及

　　据此发现另外一个exe文件，以及STARTUP文件

　　还有一个貌似记录键盘的项

#简要分析一下可能是"chrome.exe"注册了启动项，跟随系统启动时释放文件"d367e43651a1cef4a18fb38335c8460c.exe"并注册防火墙等等

#手工清除方法也很简单

#安全模式下

　　1.删除注册表中所有"chrome"及"d367e43651a1cef4a18fb38335c8460c"相关表项

　　2.删除文件"C:\User\***\AppData\Romaing\chrome.exe"

　　、"C:\User\***\AppData\Romaing\Microsoft\Windows\StartMenu\Programs\Startup\d367e43651a1cef4a18fb38335c8460c.exe"

　　及"C:\Windows\pss\d367e43651a1cef4a18fb38335c8460c.exe.Startup"

　　3.重启

　　#完后可以发现进程"chrome.exe"和启动项都清净了

#样本"chrome.exe"(总觉得是某个黑客工具弄的后门...)

 　　链接：http://pan.baidu.com/s/1slvZPud 密码：80al

#大量杀软报毒请谨慎下载！！！

一只奇怪的"chrome.exe"进程