前段时间，学校办公室中的电脑中了某种木马，运行速度非常缓慢，升级了杀毒软件也没有发现其真面目。后来我运行windows“任务管理器”查看进程，发现进程中有一个名为“system32.exe”的进程很是可疑，我将其进程终止后，还没容我将任务管理器关闭，它就又冒出来了，于是我搜索到了它的位置“c:\windows\system32\system32.exe”，并利用系统光盘进入了DOS模式将该文件删除，可是重新启动计算机后，该文件又被加载，很显然这是一个双进程木马，在它的背后一定有另一个木马文件在运行，当背后的这个木马文件检测到系统进程中“system32.exe”文件没有运行时，它就会自动再将其复制一份，并进行加载。这种木马有监护进程的功能，会定时对系统进行扫描，一旦发现被监护的进程遭到查杀就会复活它，而且现在很多双进程木马互相监视，互相复活，因此查杀的方法就是要首先找到这匹“连环马”。

首先运行Windows“任务管理器”，并在打开窗口的“查看”菜单中，选择“选择列”选项，在出现的“选择列”窗口中(如图)，勾选“PID（进程标识符）”，单击“确定”按钮回到“任务管理器”界面，就可以看到“system32.exe”该文件的PID值，将其PID值记下后，退出“任务管理器”窗口。接着再依次单击“开始→运行”，在运行窗口中输入“CMD”命令，单击“确定”后按钮，在CMD窗口中输入“taskkill /im system32.exe /f”命令，这时就会出现终止完“system32.exe”进程后的提示信息：“成功：已终止PID1357从属于PID 677的进程”，也就能够看出该“system32.exe”木马进程与PID值为667的进程是相关联的。再次进入“任务管理器”，通过查找PID值为677的文件，发现了“ctfmoon.exe”这个幕后元凶，然后搜索找到了它的位置“c:\windows\system32\cftmoon.exe”，再通过系统光盘进入DOS模式，将这两个文件一起删除，重新启动计算机后，电脑恢复了正常。

（闫冬梅）