利用Find.exe工具查找木马

　　为了清除木马的真实性，笔者在自己的本机内，运行了其木马的服务端文件，这样木马就会被成功加载到系统内，从而控制了整个电脑。接下来我们如何清除其加载的木马呢?这里依次单击“开始”→“运行”对话框，在弹出的“运行”对话框内，输入“CMD”命令回车，就可将“命令提示”对话框打开，或者将系统里的CMD文件，复制粘贴到某目录下，并且双击该CMD执行文件，也可达到弹出“命令提示”对话框的目的(图03)。

图03 打开CMD命令提示对话框

　　接下来将目录跳转到Find.exe工具目录处，然后在光标闪烁的位置处，输入Find –f命令回车，此时便可查找出木马隐藏的路径C:\program Files\dzgmhncg.sys，以及木马服务名“1 hidden service”(图04)。

图04 利用Find工具查找出木马隐藏路径

　　既然知道了木马路径以及其服务名称，我们先禁用其木马服务，让其停止在系统的运行，这里继续在“光标闪烁”的命令行处，输入“Find –cd dzgmhncg.sys”命令回车，便可将其服务成功禁用(图05)。

图05 成功禁用木马服务

　　然后查看一下该服务现在的属性，在其下面的光标闪烁处，输入“Find –c dzgmhncg.sys”命令回车，此时就看显示其木马服务的状态(图06)。

图06 利用Find命令查看属性

　　从图中可以清楚的看到，其结果为The Service “dzgmhncg.sys” has not been found信息，则表示没有发现该服务，也就是说该服务现在是未开启状态。知道了这些，我们进入到C:\ program Files\目录下，找到后门释放出来的Uwupqudn.dll文件，并将其删除掉(图07)。

图07 删除释放出来的Uwupqudn.dll文件