那应该怎么办呢？答案是不理它，找到后，把文件名字记下来，然后进行下一步的检查工作，暂时不要理它。
　　
　　 如果没找到呢？
　　 那说明，你的机器可能很干净，没有木马。
　　 或者，木马是进程隐藏或无进程木马。
　　
　　 进程隐藏型的怎么办呢？
　　 我们先了解一些木马隐藏进程的手段～
　　
　　当前流行的木马隐藏进程的手段如下：
　　
　　0、初级隐藏，查找任务管理器窗口枚举子窗口找到列进程的列表框，把自己的名字抺去～，这种用一般专业工具即可查。
　　1、中级隐藏，HOOK Win32API 过滤掉马儿自己的进程。只要是驱动级别的进程管理工具基本都可以查。
　　2、中高级隐藏，HOOK SSDT NtQuerySystemInformation，过滤掉马儿自己的进程，具有恢复SSDT功能的驱动级工具可查。
　　3、次高级隐藏，INLINE HOOK SSDT，过滤掉自己进程，恢复INLINE的或直接枚举进程链的可查。
　　4、准高级隐藏，自活动进程链中摘除自己的进程，基于线程调度链表检测技术的工具可查。
　　5、高级隐藏，绕过内核调度链表隐藏进程，基于HOOK－KiReadyThread技术来检测的工具可查。
　　
　　对于隐藏进程，请使用具有相应功能的检查工具来检查～
　　
　　当然了，我们也不一定死乞白咧的非要把木马隐藏的进程找出来，实在找不出，就当没有或当作无进程的木马，直接进行下一步检查就可以了。
　　因为，进程检查只是检查的手段之一，看不到、杀不掉木马的进程，并不防碍我们把木马清掉。
　　
　　OK，无论对进程的检查结果如何，我们接下来都要开始下一步的检查，模块检查！
　　
　　参照图如下：
　　
　　下面的图是一张进程检查图（请以数字签名验证的结果为主，以文件路径名字为辅来判断，瑞星杀毒软件的进程不是系统进程，但通过文件名字与路径，我们可以知道，这是瑞星的主控程序，呵呵，不要死心眼，要多方面结合起来判断～ ^-^）：
　　

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点