Process Monitor工具找网吧广告

很多网吧经常有遇到有一些客户机多了一些广告或者是可能是有中毒的情况。Process Monitor 软件可以方便的监视和记录系统各程序的进程线程，注册表，网络，文件读写等活动。

１，开超级用户，双击打开程序，把用户许可允许了，否则开机的时候会要求许可。为了让程序尽快的启动，建议将程序添加到注册表userinit 项中。

http://www.583go.com/article-1976-1.html
也可参考此链接，将Process Monitor开机启动。

2，设置程序右上四个监视都打开，分别是注册表，文件，网络，进程线程。程序启动后就会监视系统绝大部份操作了。简单说一下，操作中 readfile 表示读取文件，WriteFile表示写入文件。

点击工具栏如下图标，可以查看进程树，可以很清楚看到历史上哪些进程属于哪个父进程。注意这里是历史记录也就是他消失了也能看到。所以还是有很有用。这里显示 我们的dbntcli.exe启动了自身并启动c_deskico.aex来处理桌面图标摆放，并导入了一些用户的注册表。还启动了 smss.exe 这个深蓝防逃费程序。

3，这里可以看我们的程序 DBNTclie.exe 给ser200这台机子的 tcp端口 21983发送了消息，并接收了消息。tcp send(TCP发送) ， TCP Receive (TCP接收)，并写入文件(Writefile) kdsm.exe 这个文件（从服务器ser200下载的）

4,因为消息太多，我们无法一一看完，所以我们选择过滤图标，打开过滤窗口，WriteFile 也就是只看写入文件的日志。

5，这下就只有写入文件的日志，一目了然。

6，可以看到explorer.exe 写了 tldrdll.bat 文件，但我们并没有操作，难道explorer.exe中毒了。

7，找到资源管理，双击process tab，有一个不明的dll注入 PKWSSNGT.dll

8，这个文件是哪的呢？返回主界面搜索，就可以找到是哪个程序释放的了。