这篇贴子主要告诉大家如何去找病毒。找到病毒后如何去清理。因时间有限，只写一些比较主要的部分。如有不明之处，请跟贴询问。运行木马后，木马进程常驻内存，进程列表中可以看到。因为我已经修改了我的boot.ini，也不知道他有没有隐藏进程。这其实并不重要。探测隐藏进程的工具很多。比如冰刃，GMER。本论坛都可以下载。我更关注的是进程模块。下面看一个图：近视眼和老花眼的可以点击放大再看。这些进程模块是注入到explorer.exe（桌面）进程里的。已经去除了系统模块。其实不难发现，除了e:\soft\windowblinds这个模块，其它的全是病毒。cmdbcs.dll这个大家再熟悉不过了吧。而且这些病毒不只注入explorer.exe进程，凡是它可以注入的，全给你注入，而且时时监控有无新进程产生，如果有马上试图注入。上面的图来源于我和天明大哥一直在开发的进程分析器。因为我个人原因，耽误了很多时间，所以现在还不能和大家见面。到时候会发布到论坛的。先看下截图吧：得和大家说声对不起，大家提供了这么多进程信息，辛苦你们了。我会尽快调整一下，完成这个工程。请大家原谅。我还要感谢济南论坛、青州论坛、第四界论坛、计算机反病毒论坛一直支持鼓励我的兄弟姐妹们。现实生活空虚迷茫，但在网络上我还能找回点自信。全靠你们。继续。。。。那么这些进程模块我们如何去处理呢？删除是不可能了。也许有人会想到结束进程后再去删文件。但这也是不可能的。上面已经说过了，病毒不只注入explorer.exe。难道winlogon.exe你也打算结束吗？喜欢蓝色的可以结束试试。其实这个问题我在别的贴子里说过多次了。有3种方法：1、找到文件直接重命名。不要告诉我不能重命名。试过才知道。至少上面这些，全部可以。2、用文件免疫工具将文件免疫。能重命名就能免疫，呵呵。还可以抵制病毒文件再生。至于文件要不要去删除。管它呢。根本不用。你想想，一个文件名叫123_321，就算你双击都打不开，他自身怎么会智能到运行呢？？死马一个而已。3、想暴力删除的话工具也有很多，辅助工具版块里找下。超级巡警文件暴力删除工具。当然还有大名鼎鼎的unlocker。个人推荐用第二种方法。doit里自带文件免疫工具，而且还支持文件右键菜单快速免疫。方便。这个进程分析器里也带文件免疫工具。嘿嘿。貌似在做广告似的。嗯。把你上图中看到的这些病毒文件全部免疫上。注意最好看下别的进程的模块是否有非法的模块。首先检查无出品公司的模块（见上图），但不要以为没有出品公司就一定是病毒。这个不大好说清楚，以后多看看求助版块有扫描报告的贴子以及解决方案，时间长了基本也可以判断个差不多了。常在河边走，一定会湿鞋。关于进程里，还有就是我们可以先把那些非法的进程关闭。这里仍以DoIt进程管理器为例。DoIt进程管理器有个特点，进程列表中是按进程出现的先后顺序排列的。比如最后一次运行的程序是doit，那么进程列表中doit以下的进程，有可能就是木马了。当然这只适合于特意运行木马进行研究分析时用的。如果对某进程拿不准怎么办？百度一下，你就知道。进程处理方面就说到上面了。开始找启动项，任何一个病毒要启动一定要有启动条件。常用的启动条件：注册表、服务、驱动。目前的木马越来越多地使用驱动来启动木马。先说注册表吧。常见的就那几个项。RUNLOADSHELL，启动文件夹。doit里都给你集成了。点个按钮就找到了。当然你还可以用更专业的软件去查找，比如autoruns，相当地全面呐。不过新手不宜使用。有可能导致系统出问题。360安全卫士也有。这个比较适合新手使用。下面看一下我用doit扫描的启动项：doitv1.3.16还在测试和功能更新中。也是因为个人原因，迟迟不能发布。有几个网友问我为什么这段时间没更新。实在抱歉了。目前最新版本为1.3.12。一周内将会更新。进程分析器因为数据量不够，还要过段时间再发布。从中我们不难看出：从最后一个数后面七个全是病毒的启动项。右键修复。在修复之前，难道我们不需要对这些病毒做些什么吗？当然要。删除？恐怕删除不掉。重命名？估计还会再生。我以前杀它们的时候遇到过。所以，免疫他们。具体如何免疫就不说了，去看辅助工具版块文件免疫工具贴子里的说明。doit...