这是我一开机扫到：

netstat -an 

TCP    192.168.0.108:1026     192.168.0.247:1200
 TCP    192.168.0.108:1028     192.168.0.250:3260
 TCP    192.168.0.108:1032     192.168.0.250:139
 TCP    192.168.0.108:1033     192.168.0.250:139
 TCP    192.168.0.108:1036     192.168.0.249:8048
 TCP    192.168.0.108:1037     192.168.0.249:139
 TCP    192.168.0.108:1045     192.168.0.249:7966
 TCP    192.168.0.108:1052     59.34.216.139:889
 TCP    192.168.0.108:1055     59.34.197.90:80
 TCP    192.168.0.108:1056     59.34.216.139:8888
 TCP    192.168.0.108:1057     192.168.0.249:8048
 TCP    192.168.0.108:1058     192.168.0.249:139

起初是客人上机QQ报有马，要求客人改密码，但改了之后又提示有马，又建议修改密码。客人火了！！把我叫了过去，一看，QQ扫到了马，而且360也打不开。任务管理器里多了一个3344.exe 。于是乎请客人换了机，想用的是易游，应该不那么容易给穿了的吧，就重启了一下，亦然……，啊！传说中的穿不烂的易游都给穿了啊！！于是乎再还原系统，亦然……看到在D盘下面。
          先到ROS里把这现两个IP给封了才行
 TCP    192.168.0.108:1052     59.34.216.139:889
 TCP    192.168.0.108:1055     59.34.197.90:80
 TCP    192.168.0.108:1056     59.34.216.139:8888
          再开机一看，这两个IP不断有收到数据包，但是客户机已经没有木马进程运行了。
    但是，还是得全盘克过啊！！
          还有没有封杀这两个IP的快点行动吧！！