主动防御类木马巧清除
　　病人：我明白了这类木马的原理了，但还是不知道怎么清除?

　　医生：清除方法不难，和清除其他的木马程序方法类似。下面我们以清除典型的ByShell木马为例讲解具体操作。

　　第一步：首先运行安全工具WSysCheck，点击“进程管理”标签可以看到多个粉红色的进程，这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。当然有的时候黑客会设置其他名称，这时我们只要看到没有“文件厂商”信息的，就需要提高自己的警惕。

        第二步：接着点击程序的“服务管理”标签，同样可以看到多个红色的系统服务，这说明这些服务都不是系统自身的服务。经过查看发现一个名为hack的服务较为可疑，因为它的名称和木马模块的名称相同。

　　同样如果黑客自定义其他名称的服务，则在“状态”栏看到标注为“未知”的服务，我们就要注意了，最好一一排查。

　　第三步：点击程序的“文件管理”标签后，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件hack.dll，与此同时还发现一个和模块文件同名的可执行文件。

        第四步：现在我们就开始进行木马的清除工作。在“进程管理”中首先找到粉红色IE浏览器进程，选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击“服务管理”标签，选择名为hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。

　　再选择程序中的“文件管理”标签，对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后，点击右键菜单中的“直接删除文件”命令，完成对木马的最后一击。现在重新启动系统再进行查看，确认木马中的被清除干净呢。

　　第五步：由于木马程序破坏了杀毒软件在SSDT表中的内容，因此大家最好利用软件自带的主动修复功能来进行修复，或者直接重新将杀毒软件安装一次即可。

　　总结
　　以前的木马种植以前，黑客最重要的工作就是对其进行免杀操作，这样就可以躲过杀毒软件的特征码检测。是黑客现在除了进行基本的免杀外，还要想如何才能突破主动防御的功能。不过已经有木马可以突破主动防御，以后这类木马也会越来越多，因此大家一定要加强自己的安全意识。