怎么样查找伪装木马呢？

伴随我们多年的杀毒软件，在千变万化的病毒和木马面前显得“单薄”，很难再将其驱逐出境。有的甚至发现不了病毒和木马的存在，更别说怎么清除了。因此，有时需要手工检查和清除病毒。本文以Wmiprvse.exe伪装成系统的木马为例，说明如何一步步清除其木马。

有一天，作者像往常一样，按住键盘上的“Ctrl+Alt+Del”键打开“任务管理器”，切入“进程”选项卡。然而，今天与以往不同的是，从“进程”选项卡中，突然发现多了一个Wmiprvse.exe进程。于是用百度搜索Wmiprvse.exe进程的相关信息，得到的答案是wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作，这对您系统的正常运行非常重要。

我相信在座的各位都和作者一样，认为这是一个很正常很安全的过程，所以我并没有当真，开始了自己的网游“生涯”。但是好景不长，电脑开始自动重启，然后断断续续重启了几次。在没有任何可疑对象的情况下，笔者选择使用系统的搜索功能来查看这个突然出现的Wmiprvse.exe程序文件，但是出现了两个完全相同的文件。

经过仔细观察，我们发现这两个程序文件大小相同，但是在Windows2目录下有一个Wmiprvse.exe文件。然后，我们进一步查看了这两个文件夹的创建时间。Windows2确实是在自己重装系统的时间，所以两个都是系统目录，只是前面那个在* * *，没有完全删除。这时，我再次打开“任务管理器”对话框，发现系统中有两个Wmiprvse.exe进程，分别由不同权限的用户运行。

于是我上网查了一下资料，上面说\System32\wbem下的文件是正常文件。换句话说，Windows\System32\wbem下的Wmiprvse.exe文件，不直接删除就是病毒文件。然后，在“任务管理器”对话框中，作者停止该进程，进入该进程的文件夹，并删除其病毒文件。我以为病毒被消灭了，但是在笔者重启之前，大概过了十几分钟，任务管理器上又出现了病毒进程。

于是作者狠心，抱着误杀一个绝不放过一个病毒文件的心理，再次阻止了木马进程。在删除了Windows2目录下的所有文件后，他在注册表编辑器中搜索删除相关键值，然后重启电脑，再打开“任务管理器”对话框，发现Wmiprvse.exe进程已经消失，系统总是自动重启的现象也消失了。于是乎，真假“美猴王”如果遇到像作者一样伪装成Wmiprvse.exe程序的木马，不如按照本文的思路清除病毒，何必用一个费时费力的重装方案。