kevin beaver：考虑到安装的应用程序的奇怪行为，你很可能正在对付某种类型的恶意软件，最有可能是rootkit或者以远程接入特洛伊木马。这些恶意软件能够让黑客从外部偷偷进入没有保护措施的计算机。了解这个事情的惟一方法是运行能够扫描或者监视异常行为和rootkit的存在的其它扫描软件。这种工具可以是sana安全公司的“primary response”，或者finjan软件公司的各种解决方案以及sysinternals公司的“rootkitrevealer”。

　　我还建议同时运行至少二种或者三种反间谍软件工具。也许还会有一些工具软件你没有用到。除了spybot--search & destroy等常用的解决方案和lavasoft ad-aware安全软件之外还有一些工具。我很幸运地使用了冠群国际的pestpatrol和微软的antispyware等工具软件。监视老系统活动的另外两个工具是监视和封锁出站通讯的个人防火墙（不是windows防火墙）以及能够监视可疑的系统进出的网络通信的网络分析器。当然，只有你的系统连接到网络的时候后一种选择才是可用的。

专家教你清除rootkit之立即行动：

　　kurt dillard：首先，将受影响的系统从网络断开是一个好主意。接下来，你需要决定你愿意投入多少时间。你愿意收集可能用来提出犯罪指控的证据吗？收集证据非常耗费时间，而且你必须要认真遵循适当的证据收集程序来做。你要确定这个事件的根源以便采取具体措施堵住被利用的任何安全漏洞吗?这也需要耗费很多时间。或者像我们大多数人一样，你没有那样多的时间，只是想尽快摆脱故障使系统恢复正常?无论你选择什么办法，我都希望你在事件发生之间制定一个具体的事件反应计划。如果你没有这个计划，你要确定写出一个适合你的机构的业务需求的书面计划。

　　收集能够用于法庭上的信息系统的证据需要严格的程序，把发生的一切事情都存档保存并且保护原始的数据。我建议，你应该在事件发生之前与你们机构的法律代表和一些业内专家合作制定一个计划。你要使用逐个字节拷贝的工具等软件（也就是guidance软件公司的encase、accessdata公司的ftk imager或者x-ways软件技术公司的winhex等工具软件），在安全的地方存储受到影响的系统，对这些工具软件创建的数据做适于法庭使用的整理工作。

　　找出发生问题的细节可能需要很多时间。但是，这项工作是令人着迷和有教育意义的。有一些rootkit检测工具：

　　·rootkitrevealer（成名的和令人尊敬的安全专家mark russinovich和bryce cogswell制作的）

　　·blacklight（知名安全软件厂商f-secure公司制作的）

　　·klister（卑鄙的内核模式rootkitfu的作者制作的--你自己需要决定是否让你的网络信赖这个程序员）

　　这些工具都有自己独特的功能和缺陷。我喜欢使用rootkitrevealer。但是，恶意软件作者不断地更新他们的工具以便避开最新的检测应用程序，因此，我最喜欢的工具也许也不能检测出所有的恶意软件。你也许需要手工执行微软研究院2004年发布的工具软件“strider ghostbuster”的白皮书中解释的那些程序。简言之，你要在系统启动的时候拍下系统的快照，收集每个硬盘的目录列表等信息。然后，你使用替代的操作系统启动计算机，用你在干净的操作系统中所看到的东西与被攻破的操作系统中的东西进行比较。

　　如果你没有时间了，在使受到影响的计算机系统脱离网络之后，你可以直接进入恢复阶段。

　　lawrence abrams：如果你发现的rootkit看起来像是与各种恶意软件捆绑在一起的普通的rootkit，那么，断开这台计算机的网络连接作为你的第一个措施应该是足够的。这将阻止其传播以及可能下载和安装更多的恶意软件。

　　另一方面，如果你确定那就是目标rootkit，是一个人专门攻破这台计算机并且安装的rootkit，那么，你应该按照你们的机构对付入侵的政策去做。遗憾的是，大多数公司对于这类事件没有政策。如果你可能采取法律行动的话，最低限度你要立即制作一个可在法院使用的硬盘的镜像，把原始的计算机保存起来以便在法庭上当作证据。如果你不打算采取法律行动，你就可以直接进入恢复阶段。