我是这样帮MM找出木马程序的

　　今天一上QQ，就看见我的好朋友Rena呼叫我，说是电脑很多奇怪问题。具体是电脑变得很慢，网速也比平时慢了一大截，CPU占用率经常100%；有时鼠标会自己到处移动，并把她开着的窗口关掉了，防病毒软件实时监控被莫名其妙地关闭并且无法重新打开，而且MM的另一个QQ密码被盗了……

　　从以上的种种迹象，不难看出，MM是遭到黑客入侵了。于是有了这次反黑经历。文章技术含量不高，但可以告诉你查杀木马后门的一般步骤，相信对你也是很有帮助的。

　　首先必须准备一些检测工具。这里我要用到的是Pstools里的pslist.exe和IceSword。

　　一、检查系统进程

　　进程应该可理解为处于活动状态的计算机程序，它在操作系统中执行特定的任务。大多数木马运行时，并没有隐藏其进程。所以，通过pslist.exe列出进程列表，可以揪出可疑进程。注意：检查进程时要格外细心，比如“Explorer”是真正的系统进程，而“Exp1orer”就是木马了。前者是字母“l”，后者是数字“1”；或者把其中的“o”改为数字“0”，两者仅仅一字之差，这是木马的瞒天过海之计。

　　首先在开始-->运行里输入“cmd”然后回车，打开命令提示符。然后跳转到Pstools所在目录，运行pslist.exe，就可以看到当前系统正在运行的进程了。不过并没有发现可疑进程，看来这只马已经把进程隐藏了。当然如果你发现了可疑进程，可用pskill.exe结束进程。如图1：

　　二、检查注册表启动项

　　大部分木马都会在注册表的启动项中添加注册表项，以便于可以开机后随系统启动。这里，我们的IceSword要派上用场了。IceSword是一斩断黑手的利刃，它适用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手。打开IceSword，在左侧的“查看”选项卡里，点击“启动组”，则你的系统里有哪些程序是随系统启动的一目了然。在MM的电脑里，发现了C:\WINNT\System32\Ps.exe被加载到启动项，显然这个程序以前没见过。如图2：

[1] [2] 下一页