1.查看系统进程，发现木马进程system.exe。

思考：木马php?name=%B2%A1%B6%BE" class="t_tag">病毒 c:\WINDOWS\system32\system.exe
　　　正常系统是在system32是找不到system.exe的

2.查系统服务，发现服务器里面有一个dns server 是伪装服务器调用smss.exe。

思考：木马病毒c:\windows\smss.exe
　　　正常系统c:\windows\system32\smss.exe

3.发现一个隐藏用户，这个就不用讲大家都知道。


4.发现iis文件目录有被改动，益出程序asp.dll被更改。


下面主要解释一下system.exe和smss.exe吧如下：

（１）
进程文件： system 或 system.exe
进程位置： 系统
程序名称： Backdoor.bifrose
程序用途： 后门木马病毒 用于窃密，远程控制。
程序作者：
系统进程： 否
后台程序： 是
使用网络： 是
硬件相关： 否
安全等级： 低
进程分析： GAOBOT.AO、netcontroller、Trojan/PSW.WyHunt、Worm_Bbeagle.K以及灰鸽子等木马病毒也生成该文件，基本上都属于后门蠕虫木马，恶意攻击者用来进行远程控制。该病毒修改注册表创建系统服务system实现自启动，并将病毒模块systemKey.DLL，system_HOOk.DLL注入进程运行，病毒模块能够记录键盘动作窃取账号密码，并允许恶意攻击者远程控制计算机。
Troj_adware.mopo广告木马，病毒修改注册表实现自启动，运行后实现启动MOPO弹窗广告。


当你不知道system到底是进程还是病毒的情况下，你就下载一个下载个可以显示路径的工具，SREng和IceSword都可以，看看具体的路径就知道到底是什么了。

（２）
进程文件:        smss.exe
进程名称:        PWSteal.Wowcraft.b木马病毒
英文描述:        N/A
进程分析:        QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。

安全等级 (0-5):        0 (N/A无危险 5最危险)
间碟软件:        是
广告软件:        是
病毒:        是
木马:        是

系统进程:        否
应用程序:        否
后台程序:        是
使用访问:        是
访问互联网:        否

描述: Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS 驱动名称类似 LPT1 以及 COM，调用 Win32 壳子系统和运行在 Windows 登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的 Winlogon，Win32 (csrss.exe) 线程和设定的系统变量作出反映。在它启动这些进程后，它等待 Winlogon.exe 或者 csrss.exe 结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe 就会让系统停止响应(挂起)。要注意，如果系统中出现了不只一个 smss.exe 进程，而且有的 smss.exe 路径位于 Windows 目录，那有可能是中了 TrojanClicker.Nogard.a 病毒，这是一种 Windows 下的 PE 病毒，它采用 VB6 编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件 WIN.INI，并在 [WINDOWS] 项中加入 "RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程 smss.exe，再删除 Windows 目录下的 smss.exe 文件，然后清除它在注册表和 WIN.INI 文件中的相关项即可。