2.查找可疑DLL模块

　　由于一般用户对DLL文件的调用情况并不熟悉，因此很难判断出哪个DLL模块是不是可疑的。这样ECQ-PS(超级进程王)即可派上用场。

　　运行软件后即可在中间的列表中可以看到当前系统中的所有进程，双击其中的某个进程后，可以在下面窗口的“全部模块”标签中，即可显示详细的信息，包括模块名称、版本和厂商，以及创建的时间等。其中的厂商和创建时间信息比较重要，如果是一个系统关键进程如“svchost.exe”，结果调用的却是一个不知名的厂商的模块，那该模块必定是有问题的。另外如果厂商虽然是微软的，但创建时间却与其它的DLL模块时间不同，那么也可能是DLL木马。

　　另外我们也可以直接切换到“可疑模块”选项，软件会自动扫描模块中的可疑文件，并在列表中显示出来。双击扫描结果列表中的可疑DLL模块，可看到调用此模块的进程。一般每一个DLL文件都有多个进程会调用，如果调用此DLL文件的仅仅是此一个进程，也可能是DLL木马。点击“强进删除”按钮，即可将DLL木马从进程中删除掉。

　　三、彻底的Rootkit检测

　　谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查，看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。

　　1.Rootkit Detector清除Rootkit

　　Rootkit Detector是一个Rootkit检测和清除工具，可以检测出多个Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100。

　　用方法很简单，在命令行下直接运行程序名“rkdetector.exe”即可。程序运行后将会自动完成一系统列隐藏项目检测，查找出系统中正在运行的Rootkit程序及服务，以红色作出标记提醒，并尝试将它清除掉。

　　2.强大的Knlps

　　相比之下，Knlps的功能更为强大一些，它可以指定结束正在运行的Rootkit程序。使用时在命令行下输入“knlps.exe -l”命令，将显示系统中所有隐藏的Rootkit进程及相应的进程PID号。找到Rootkit进程后，可以使用“-k”参数进行删除。例如已找到了“svch0st.exe”的进程，及PID号为“3908”，可以输入命令“knlps.exe -k 3908”将进程中止掉。

　　四、克隆帐号的检测

　　严格意义上来说，它已经不是后门木马了。但是他同样是在系统中建立了管理员权限的账号，但是我们查看的却是Guest组的成员，非常容易麻痹管理员。

　　在这里为大家介绍一款新的帐号克隆检测工具LP_Check，它可以明查秋毫的检查出系统中的克隆用户！

　　LP_Check的使用极其简单，程序运行后会对注册表及“帐号管理器”中的用户帐号和权限进行对比检测，可以看到程序检测出了刚才Guest帐号有问题，并在列表中以红色三角符号重点标记出来，这时我们就可以打开用户管理窗口将其删除了。

　　通过介绍相信已经能够让系统恢复的比较安全了，但是要想彻底避免木马的侵害，还是需要对其基础知识加以了解。