順藤摸瓜查找木馬

由于已經獲得了重要的信息內容，現在我們運行木馬輔助查找器，點擊“進程監控”標簽，通過PID值找到可疑的Svchost進程。

選中該進程，在下面的模塊列表查找，很快就找到了一個既沒有“公司”說明，也沒有“描述”信息的可疑DLL文件，因此斷定這個就是木馬服務端文件(圖2)。看到該木馬使用了線程插入技術，并且插入的是系統的Svchost進程。

順利找到木馬程序的進程以后，張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具，依次點擊“啟動項目→服務→Win32服務應用程序”按鈕。

在彈出的窗口中選擇“隱藏微軟服務”選項后，程序會自動的屏蔽掉發行者是Microsoft的項目，很快醫生就發現一個和木馬文件名稱相同的啟動服務(圖3)，因此斷定這就是木馬的啟動項。

清除木馬不過如此

在木馬輔助查找器的“進程監控”標簽中，通過PID值找到被木馬程序利用的Svchost進程，選中它，點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標簽中的“后臺服務管理”選項，在服務列表中找到木馬的啟動項，選擇“刪除服務”按鈕即可。

文件名稱，當查找到和木馬文件名稱相關的項目后進行修改或刪除(圖4)。***我們進入系統的System32目錄中，將和服務端相關的文件刪除即可完成服務端的清除工作。