应很多用户的要求这里就写一个教程，一个用了很长时间的软件 Process Monitor 查找病毒的教程，该软件可以方便的监视和记录系统各程序的进程线程，注册表，网络，文件读写等活动。

软件下载：点击本站顶部的 常用工具 即可

１，开超级用户，双击打开程序，把用户许可允许了，否则开机的时候会要求许可。为了让程序尽快的启动，建议将程序添加到注册表userinit 项中。

2，设置程序右上四个监视都打开，分别是注册表，文件，网络，进程线程。程序启动后就会监视系统绝大部份操作了。简单说一下，操作中 readfile 表示读取文件，WriteFile表示写入文件。

　点击工具栏如下图标，可以查看进程树，可以很清楚看到历史上哪些进程属于哪个父进程。注意这里是历史记录也就是他消失了也能看到。所以还是有很有用。这里显示 我们的dbntcli.exe启动了自身并启动c_deskico.aex来处理桌面图标摆放，并导入了一些用户的注册表。还启动了 smss.exe 这个深蓝防逃费程序。

3，这里可以看我们的程序 DBNTclie.exe 给ser200这台机子的 tcp端口 21983发送了消息，并接收了消息。tcp send(TCP发送) ， TCP Receive (TCP接收)，并写入文件(Writefile) kdsm.exe 这个文件（从服务器ser200下载的）

4,因为消息太多，我们无法一一看完，所以我们选择过滤图标，打开过滤窗口，汪厍 WriteFile 也就是只看写入文件的日志。

5，这下就只有写入文件的日志，一目了然。

6，可以看到explorer.exe 写了 tldrdll.bat 文件，但我们并没有操作，难道explorer.exe中毒了。

7，找到资源管理，双击process tab，有一个不明的dll注入 PKWSSNGT.dll

8，这个文件是哪的呢？返回主界面搜索，就可以找到是哪个程序释放的了