由系统任务管理器来发现隐藏特洛伊木马程序

Windows任务管理器是管理过程中的主要工具，在它的过程；；选项卡可以查看当前系统进程信息，默认设置下，我们通常只看到一些物品，如图像名称、用户名、CPU占用、内存使用等，以及更多的信息，如我的I/O读写、虚拟内存大小等都是隐藏的。不要小看这些隐藏的信息，当系统莫名其妙的故障，它能不能从他们中间找到突破口。

1。自动杀死的双进程特洛伊木马程序

不久前，在朋友的电脑里发现了一个特洛伊木马。木马程序被确定为system.exe通过任务管理器；在它被终止，这是翻新的，它会复苏，进入安全模式C： Windows System32 system.exe删除，它将重新启动后，怎么也无法彻底清除它。从这一点来看，朋友应该是一双进程木马，该木马具有将扫描定期监护过程中，一旦监控过程中发现被杀，它会复活。现在很多双进程木马监控对方复活对方。所以要杀人的关键是找到两木马文件，互相依赖。木马的过程中可以发现的帮助任务管理器的PID标识。

Windows任务管理器是转移出去，首先在rarr；选择是；选择；PID（进程标识符）返回任务管理器窗口后，我们可以看到每一个进程的PID标识。这样当我们终止一个进程，它可以找到父进程，再生它通过PID标识后再生。启动命令提示符窗口，执行TASKKILL / /我system.exe f命令。爽肤后电脑重新输入上述命令，可以看到，终止system.exe进程PID为1536，它属于一种PID的676个过程。也就是说，PID 1536 system.exe过程是由PID进程创建的676。回到任务管理器，通过查询进程PID，它是已知的，它是internet.exe工艺。

在这里找到罪魁祸首，现在重新启动系统进入安全模式，使用搜索功能找到木马文件：C Windows internet.exe，然后他们可以deleted.system.exe不能在删除前。这主要是因为internet.exe没有被找到，其开机键并没有被删除，导致internet.exe复兴木马重新进入系统后。

2。P2P硬盘写程序疯狂雪貂

当单位打开互联网的电脑时，发现硬盘已经闪动，硬盘驱动器疯了，很明显，机器有什么程序读取数据，但重复的防病毒，没有病毒，特洛伊木马和其他恶意程序。

打开电脑，上网，按Ctrl + Alt + Del键启动任务管理器，切换到进程选项卡，点击菜单命令，，，检查RARR，选择列，同时检查，我 / O写，和我 / O写字节两项。回到任务管理器确定，发现一个奇怪的过程hidel.exe，虽然它需要的CPU和内存并不是特别大，但多写我/ O是惊人的，它似乎是在工作中，并迅速右键单击它并选择结束进程；结束；，真的很难读和写回正常的。