要查木马不需要很多工具，一个Ftp软件加上Windows自带的搜索功能，再有个文本编辑器如Windows带的记事本就齐备了。
　　Ftp软件建议用FlashFXP，在查木马方面他有些功能比较实用。

第一步：

　　检查网站是不是最新的组件（在登录系统后台，页面最下方显示“动易组件支持”的版本号，尽可能使用最新的组件）。

第二步：

　　请检查网站根目录中是否还保留有 Install.asp 文件，若有请立即删除。当您的网站架设好后，Install.asp 文件一定要删除！！ 

       检查“系统设置”->“网站信息配置”中的“版权信息”是否有“< script  ”、“ <iframe ”等脚本内联代码 ，若有请立即删除。

第三步：
       
　　点击“系统设置”->“在线比较网站文件”链接，利用系统提供的在线比较工具，查看动易的文件有无异常，若有利用FTP进行相应文件的检查，以确保动易的文件都是最新的。

第四步：

        登录Ftp仔细查找动易以外的木马文件。您可以在“FlashFXP”软件中选择“工具”->“查找在FTP服务器上的文件”功能查找文件：

　　由于木马一般都为.asp 文件，所以这里FTP 文件搜索名称我们可以输入 *.asp ,查找范围全网站：

　　由于黑客上传的木马往往是最近日期的，因为本身的系统作为用户并不频繁修改系统文件，点击“修改日期”按修改日期进行排列检查：

　　点击最新日期的文件右键，选择“查看”：

　　windows 会弹出记事本预览代码，您就可以看到本文件是否为木马文件，如果是则可利用FTP 直接删除。
        
　　如果以上您不知道的文件过多，一个个排查十分浪费时间话，您可以下载整个网站程序到本机进行排查。

注意：您可以不用下载网站中的Database 目录，Database 目录中网站的数据库文件PowerEasy2006.mdb（或您已经改名）。如果检查过了各个频道文件夹内的 UploadFiles上传目录，则这些目录也可不用下载。
　　究竟有多少频道目录及他们的上传目录是什么 可在系统后台，系统设置，网站频道管理中，看到频道目录名：



　　各频道的上传目录名在每个频道管理的上传选项中查看：

　　下载到本机后，可以利用windows 搜索管理功能，查询一些具有攻击性的语法，如动易系统没有 VBScript.Encode ，所以一经发现即可立即删除本文件。

　　这里提供搜索的关键词不一定是最全的，希望有经验的朋友继续提供，我们会随时更新关键词列表。

关键词	可能性	解决方法	动易包含此关键词的文件
VBScript.Encode	100%	删除	无
海洋	100%	删除	无
稻香	100%	删除	无
冰点	100%	删除	无
0D43FE01-F093-11CF-8940-00A0C9054228	100%	删除	无
093FF999-1EA0-4079-9525-9614C3504B74	100%	删除	无
72C24DD5-D70A-438B-8A42-98424B88AFB8	100%	删除	无
CreateTextFile	100%	删除	Install.asp ,Admin_RootClass_Menu.asp, User_saveflash.asp
eval(r	100%	删除	无
Execute request	100%	删除或替换	无一般是在正常文件中加入如 execute request("x") 来执行非正常代码建议替换
Execute session	100%	删除或替换	无，同上
OpenTextFile	100%	删除	Admin_CreateOther.asp ,User_saveflash.asp
WriteLine	100%	删除	无
WSCRIPT	100%	删除	无
5xSoft	100%	删除	无
Scripting.Dictionary	100%	删除	无
Request.BinaryRead	100%	删除	无
DeleteFile	90%	删除或替换	Install.asp ,User_saveflash.asp
MoveFile	90%	删除或替换	reg.asp
Getfile	90%	删除或替换	top.asp ,admin_CreateOther.asp ,Index.asp

注意：动易系统包含的不要删除，例如：User_saveflash.asp（用于系统摄像头图片捕捉上传），不是动易的建议立即删除。

第五步：

　　检查服务器IIS 映射。
　　如果您有自己的服务器，您要查看下 IIS 网站属性   － 主目录 － 配置选项按钮 － 映射，将扩展名为cdx 和 cer 都删掉。 

　　至此查木马的工作可以告一段落了。再总结归纳一下三个方法和一个注意：

方法：
       
　　1、对比法：请经常关注系统后台提供的在线比较工具，查看动易的文件有无异常，需要的时候使用Ftp工具的比较功能进行比对。
　　2、时间比较法：记住自己最后更新文件的时间，出现在该时间以后的可执行脚本一定有问题。但是注意，数据库的更新时间总是最新的，请不要误删。
　　3、关键词搜索法：按照我提供的关键词搜索文件，基本可以确定木马。

注意：

　　配置好网站后要记得删除网站根目录的 Install.asp 文件。

　　最后，“防”更胜于“杀”，请及时动易官方最新的组件，尽量不安或少安插件，才是保证你的网站正常运行的不二法则。
　　有一点应该注意，如果确实发现木马了，处理完毕之后，应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP 帐号等。