（三）Rootkit木马检查
    对于一般病毒和木马程序，通过目前市面上的杀毒软件一般都能查杀，关键是一些难以被查杀的木马程序，其中以Rootkit为首，最难查杀。
1．Rootkit由来
Rootkit出现于二十世纪90年代初，在1994年2月的一篇安全咨询报告Ongoing Network Monitoring Attacks（CERT-CC的CA-1994-01）中首先使用了Rootkit这个名词。从出现至今，Rootkit的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。Rootkit分为windows和Unix下的Rootkit。所有的Rootkit基本上都是由几个独立的程序组成的，一个典型Rootkit包括：
（1）以太网嗅探器程序，用于获得网络上传输的用户名和密码等敏感信息。
（2）木马程序，为攻击者提供控制后门。
（3）隐藏攻击者的目录和进程的程序。
（4）其它一些工具程序，例如日志清理等工具。
  Rootkit分为User Mode Rootkit 和Kernel Mode Rootkit，其中Kernel Mode Rootkit最难检查。由于Rootkit木马程序对个人电脑危害性非常大，而一般查毒软件又很难检测，因此要只能借助专业的软件查杀它。
2．查杀Rootkit
  本文推荐两款查杀Rootkit工具，一个是微软收购sysinternals公司的RootkitRevealer工具，RootkitRevealer下载地址：http://download.sysinternals.com/Files/RootkitRevealer.zip。下载到本地后，直接运行程序，程序界面非常简单，单击“Scan”按钮进行扫描，RootkitRevealer会将系统中所有隐藏的注册表键值、exe、dll以及驱动程序等以路径的形式完全显示出来（图4），供安全检查人员参考，软件本身不对Rootkit进行处理。

注意：
（1）如果在“Path”列表中存在可执行文件（*.exe）、动态链接库文件（*.Dll）以及驱动程序文件（*.sys）那么就要注意了，这些文件极有可能是Rootkit。
（2）如果存在这些文件，可以将这些文件上报杀毒软件公司，然后再找到以后删除。
   “AVG Anti-Rootkit是著名安全软件制造商AVG公司发步的一款强大的Rootkit检测、清除工具。下载地址为：http://www.grisoft.cz/filedir/inst/avgarkt/avgarkt-setup-1.1.0.42.exe。该软件安装完成后需要重新启动计算机，其操作也非常简单，查到Rootkit木马程序以后会提示是否进行清除处理。

（四）一些安全建议
1．谨慎运行程序。
平时不要安装不明应用程序，下载软件时尽量到大型正规下载网站下载，下载完成以后要进行杀毒处理，然后再进行程序安装，避免感染捆绑木马程序或者病毒程序。对于Rar压缩软件，不要直接打开，而是将文件解压缩到本地以后再执行。
2．及时更新系统漏洞补丁和病毒库。
及时更新系统漏洞补丁程序和病毒库，平时一定打开所有杀毒软件的实时监控，可以有效查杀绝大多数优盘病毒，防止来自优盘病毒的感染和传播。
3、做好系统备份
   系统安装完成以后，依次安装防火墙、杀毒软件、安装系统补丁程序、应用程序，所有程序安装完成以后，使用Ghost做一个完整的备份，如果有条件可以将Ghost文件刻录到DVD中，系统出问题时直接使用Ghost文件进行恢复。