顺藤摸瓜查找木马

　　由于已经获得了重要的信息内容，现在我们运行木马辅助查找器，点击“进程监控”标签，通过PID值找到可疑的Svchost进程。

　　选中该进程，在下面的模块列表查找，很快就找到了一个既没有“公司”说明，也没有“描述”信息的可疑DLL文件，因此断定这个就是木马服务端文件(图2)。看到该木马使用了线程插入技术，并且插入的是系统的Svchost进程。

顺利找到木马程序的进程以后，张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具，依次点击“启动项目→服务→Win32 服务应用程序”按钮。

　　在弹出的窗口中选择“隐藏微软服务”选项后，程序会自动的屏蔽掉发行者是Microsoft的项目，很快医生就发现一个和木马文件名称相同的启动服务(图3)，因此断定这就是木马的启动项。

　　清除木马不过如此

　　在木马辅助查找器的“进程监控”标签中，通过PID值找到被木马程序利用的Svchost进程，选中它，点击 “终止选中进程”按钮就可以终止该进程。选择“启动项管理”标签中的“后台服务管理”选项，在服务列表中找到木马的启动项，选择“删除服务”按钮即可。