隐藏木马进程_隐藏木马程序c

win7系统如何找到隐藏的木马病毒

具体方法如下:

1、集成到程序中

其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中

木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

3、潜伏在Win.ini中

木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。

解决方法：大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:/windows/file.exe load=c:/windows/file.exe

4、伪装在普通文件中

对于不熟练的windows操作者，很容易上当。

解决方法：把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了。

5、内置到注册表中

注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;

HKEY-USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值。

按照上述五种方法操作win7系统可以找到隐藏的木马病毒，保护系统电脑安全。

电脑杀毒软件工作原理是什么？

杀毒软件有好几种工作方式的，代数也有好几代：

第一代反病毒技术是采取单纯的病毒特征判断，将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒，可靠性很高。后来病毒技术发展了，特别是加密和变形技术的运用，使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。

第二代反病毒技术是采用静态广谱特征扫描方法检测病毒，这种方式可以更多地检测出变形病毒，但另一方面误报率也提高，尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大，容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。

第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一，形成一个整体解决方案，能够全面实现防、查、消等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，凡是检测到的病毒都能清除，不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展，静态扫描技术将会使查毒软件速度降低，驻留内存防毒模块容易产生误报。

第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多 位CRC校验和扫描机理，启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的状态。

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。

怎样让木马隐藏的更好？

一.躲过杀毒软件，悄无声息进入系统

木马要进入用户系统，首先要过杀毒软件这一关。否则一旦杀毒软件报警，木马就无隐蔽性可言了，立马被杀毒软件赶出系统。因此，面对杀毒软件，木马使尽浑身解数，通过各种手段隐藏自己，比较常见的方法有：寄宿于正常文件，木马加壳加密，修改木马特征码。

寄宿于正常文件

这个方法就是将木马程序与正常的文件捆绑在一起，捆绑后会生成一个可执行文件，当运行这个可执行文件时，正常文件和木马程序都会同时运行，这样木马就可以隐藏自己，悄悄进入用户的系统。要让木马实现这样的效果比较简单，只需要下载一个文件捆绑器即可，这里我们以木马老大“灰鸽子”出口的文件捆绑器为例。单击“文件捆绑器”上的“增加文件”按钮，选择一个正常的可执行文件，例如Flash小游戏等。再次单击该按钮将我们的木马程序也添加进来。需要捆绑的文件添加完成后，我们可以在“捆绑器”下方为捆绑后生成的文件指定一个文件图标。最后单击“捆绑文件”，即可将两个文件捆绑成一个可执行文件。

虽然这种方法比较简单，但是效果不佳，碰上杀毒能力强劲的杀毒软件，木马还是会被逮个正着。

二.木马加壳加密

“壳”是一种专门保护软件的程序，当运行一款加过壳的软件时，首先会运行这个软件的壳，壳会将包含在其中的程序进行还原，给予使用。当使用完毕后，壳又会将程序进行加密，整个过程都是在壳的保护过程中进行的。

正因为壳的性质，木马会进行加壳操作以使自身得到加密，这样就给杀毒软件的查杀带来了难度。不过目前主流的杀毒软件都改进了其杀毒引擎，增强了加壳程序的检测，对于加过壳的程序，杀毒软件会先将其脱壳，再进行查杀。因此如果木马使用的是类似ASP、UPX这样的热门加壳软件，那么还是很难逃过杀毒软件的查杀的，除非使用一些冷门的加壳软件。

修改木马特征码

这应该是最为有效的躲避杀毒软件的方法。我们都知道，杀毒软件判定这个程序是否是病毒是通过特征码来决定的，如果在这个程序中有一段代码与杀毒软件中的病毒特征码对上号，那么就判定它是病毒。根据这个原理，我们是否只要让木马的代码与杀毒软件的特征对不上号，就可以躲过杀毒软件的查杀呢？答案是肯定的，修改木马的特征码需要使用16进制编辑器，例如UltraEdit、Winhex等。修改特征码可以采用两种方法：1、直接修改特征码：用16进制编辑器打开木马后，将其中的特征码都替换为0；2、增加跳转指令：在木马特征码处增加一条跳转指令，让程序运行到该处时跳到下一段代码，这样做的目的是使杀毒软件检测时跳过这段代码的检测。

防范：在这一部分，木马的隐藏手段对我们的威胁还是比较小的。只要有足够的安全意识，就可以将木马拒之门外。

首先我们来看看如何对付经过捆绑的木马文件。由于捆绑文件是由两个文件合并生成的，虽然我们只能看到一个文件，但是可以在这个文件的内部找到捆绑的蛛丝马迹。这里我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。单击程序界面上的“扫描”按钮，浏览选择可疑文件，如果程序下方的“包含多个可执行文件”选项被打上钩，这就表示文件被捆绑了。

至于对木马程序进行加壳，曾经是很流行的一种木马隐藏手段，但是随着杀毒软件的升级，木马已经很难再有效地利用这种手段。根据壳的原理我们可以得知，加壳木马运行后，会将其中的木马程序在内存中还原。还原后的木马是不受壳的保护的，因此大部分的杀毒软件都会抓住这个机会，将木马铲除。

如果唯一能对杀毒软件造成一点危害的，就只剩下修改木马特征码这种隐藏手段了。不过不同的杀毒软件提取同一木马程序的特征码是不同的。这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀，如果要躲避多款杀毒软件，就需要修改多处特征码。这会对木马隐藏自己造成一定的困难。因此如果有条件，安装两款杀毒也是一个不错的办法。

三.隐藏窗口、设置文件属性、自我删除

隐藏窗口

木马的服务端程序是一个可执行程序，和我们在Windows上使用的绝大多数的软件相同，都是标准的Win32程序。不同的是，我们运行普通的可执行程序时，会出现软件窗口，我们可以在这个软件窗口中进行操作。而木马的服务端运行后，却没有出现窗口，这是因为木马服务端程序在编写的过程中将其窗口属性设置为隐藏，也就是说，木马服务端运行后的窗口是存在的，只是我们无法看到而已。

设置文件属性

木马为了隐藏在用户系统中生成的文件，通常会设置文件的属性为“隐藏”和“系统”，这样我们就无法在普通模式下看到木马的文件。

自我删除

自我删除是木马最初就具有的一种功能，当运行木马服务端程序后，服务端程序会将自身删除。这样做的目的是清除留下的痕迹，达到隐藏自身的效果。

防范：隐藏窗口和删除自身是木马服务端最常用的功能，虽然可以在一定程度上隐藏自己，但是也会因此而暴露自己。当我们双击一个可执行程序，结果没有出现任何窗口，或者运行后这个可执行文件消失了。那么我们很有可能中了木马，因为这是运行木马服务端最基本的两个特征。

设置文件属性是木马和病毒乐此不疲的隐藏手段，虽然手法简单，但效果不错。破解的方法也比较简单，点击资源管理器的“工具”菜单→“文件夹选项”，切换到“查看”标签，将“隐藏受保护的操作系统文件”前面的钩去掉，同时选择“显示所有文件和文件夹”选项，即可让隐藏的木马文件现形。

四.进程隐藏，遁地于无形

稍懂得安全保护知识的朋友都会通过任务管理器查看是否有可疑进程，以此确定木马的存在。不过随着木马编写技术的提高，在任务管理器中查找木马的方法不再是100%的有效。通过Hook技术编写的木马可以实现进程的隐藏和进程的插入。即使木马在系统中运行，我们在任务管理器中也只能看到正常的进程，而无法看到木马的进程。在了解这种隐藏技术之前，我们有必要先了解一下什么是Hook。

什么是Hook

Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序就会收到系统的通知，这时程序就能在第一时间对该事件做出响应，木马程序便抢在函数返回前对结果进行了修改。

传统的进程隐藏技术

在Windows98系统中有一种能将进程注册为服务进程的技术。这种技术称为RegisterServiceProcess。通过这种技术，任何程序的进程都能将自己注册为服务进程，也就是说木马可以将自己的进程注册为服务进程。而服务进程在Windows98中的任务管理器中是不显示的。这样我们就无法通过任务管理器找到木马的进程。

通过Hook的进程隐藏

传统的进程隐藏技术到了Windows2000以后就毫无用武之地，因为在Windows2000以后的系统中，服务进程也是在任务管理器中显示的，例如svchost.exe进程，该进程是一个服务进程，我们可以在Windows2000的任务管理器中看到，而在Windows98下则不可以。此路不通，另寻他路。传统进程隐藏技术落后后，木马又转而使用Hook技术的进程隐藏。

新型的进程隐藏技术基本都是通过Hook来实现的。例如我们熟悉的灰鸽子木马，其通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数。由于灰鸽子事先对该API函数进行了Hook，因此“任务管理器”返回给我们的信息是不真实的，是被Hook过的信息，而有关木马的进程信息已经被悄悄的处理掉了。

防范：使用“Windows优化大师”集成的“进程管理”工具。运行“Windows优化大师”→“系统性能优化”→“系统安全优化”→“进程管理”。在其中选择一个进程，然后将下方的进程状态切换到“模块列表”标签，一般的隐藏进程都会在这里现形。

至于采用Hook技术的进程隐藏，我们无法使用一般的工具来检查，不过有一款被喻为“反黑之刃”的软件──Icesword，可以将通过Hook技术隐藏的木马进程统统挖掘出来。Icesword我们曾经做过专门的介绍，在此不在阐述。用Icesword查看隐藏进程方法：运行Icesword，单击“进程”按钮即可。隐藏进程将会以红色字体显示。

如何清除视频中的广告木马?

分类: 电脑/网络 反病毒

问题描述:

我下载了电影,只要打开视频就有网页跳出来,真的是很烦恼.我就去下载"RM RMVB去网页木马广告专家"可是大部分下载的专家,被卡巴认定我病毒终于下载了一个好的,但是未注册只能修复100M内的请问谁有注册版的,破解版的?可以修复100M以上的或者提供其他的木马广告清除软件

解析:

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成mand.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Sofare\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Sofare\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

小知识：

“木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Inter上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪

解决办法：现在下载个360安全卫士，为什么推荐它呢？由于它跟卡吧斯基联手，下一个安全卫士能免费试用三个月卡吧斯基，这样你的问题就能解决。

下载安全卫士后它再把卡吧斯基装上，这在安全卫士杀马程序就能操作的，无须到网站上下，方便简洁。下完后它会提示你把现有的杀毒软件谢载掉，把它谢完重启后再装卡吧斯基，最后装完升级，重启进入安全模式。这样差不多能百分百把木马干掉，我还没试过这方法不爽的。你试试吧

电脑感染力木马怎么办

1. 电脑中木马了怎么办

木马病毒的通用解法 “木马”全称是“特洛伊木马（Trojan Horse）”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。

在Inter上，“特洛伊木马”指一些程序设计人员在其可从网络上下载（Download）的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。 由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。

虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，：），“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。

当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成mand.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中，在[BOOT]下面有个“shell=文件名”。

正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。

然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell='木马'文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。

至此，我们就大功告成了。

2. 电脑中了感染型木马病毒应该怎么办

有几种方案可以尝试。

方案一：使用一键还原系统。右键点击开始→【所有程序】，点击一键还原精灵装机版，开始一键还原系统。

方案二：注册表杀毒。右击任务栏选择→【任务管理器】，CPU运行达到百分百就是被感染，找到相对应的文件记录下来。点击运行输入regedit，点击确认进入注册表编辑模式，找到对应记录的软件名称并删除。

方案三：手动杀毒。点击IE属性栏，找到删除键，清理IE临时文件；点击开始关闭计算机，点击重启然后进入安全模式；找到HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*并检查不明启动项目并删除。

方案四：使用360或其他杀毒软件进行查杀病毒。

3. 电脑中病毒或木马怎么办

现在虽然有众多的杀毒软件和防火墙供大家作为电脑的保护，但新病毒和木马，加上黑客人工的入侵方式，电脑中毒的情况还是很普遍。尤其是上网的用户，一不留意就会中招。一旦发现电脑中毒了，该如何处理呢？下面就谈谈中毒后的一些紧急处理措施。

一、正在上网的用户，发现异常应首先马上断开连接

如果你发现IE经常询问你是否运行某些ACTIVEX控件，或是生成莫明其妙的文件、询问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：

1.是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题，这算是轻的；还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口，直到耗尽资源死机，这种情况恶劣得多，你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。

2.是黑客的潜在的木马发作，或是蠕虫类病毒发作，让你的机器不断地向外界发送你的隐私、或是利用你的名义和邮件地址发送垃圾，进一步传播病毒；还有就是黑客的手工入侵，窥探你的隐私或是删除破坏你的文件。

处理办法：马上断开连接，这样能将自己的损失降低的同时，也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机，进一步的处理措施请参看后文。

二、中毒后，应马上备份转移文档和邮件等

中毒后运行杀毒软件清除是不在话下的了，但为了防止杀毒软件误杀或是删掉你还未处理完的文档和重要的邮件，你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份，所以第一点这里笔者建议您先不要退出windows，因为病毒一旦发作，可能就不能进入windows了。

不管这些文件是否带毒了，你都应该备份，用标签纸标记为待查即可。因为有些病毒是专门针对某个杀毒软件设计的，一运行就会破坏其他的文件，所以先备份是以防万一的措施。等你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。

三、需要在windows下先运行一下杀毒软件（即使是带毒环境）

如果发现病毒后，要赶快杀毒。安全卫士360+nod32或卡巴等等，就看大家平时喜欢哪款杀软了。另外，可以用权限较低的帐户进行日常的使用，管理员只在安装程序或是修改系统时再用，这样的话病毒所造成的影响将会减少到最低限度。

四、如果有GHOST和分区表、引导区的备份，用之来恢复一次最保险

如果你在平时作了windows的GHOST备份，用之来镜像一次，得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了，当然，这要求你的GHOST备份是绝对可靠的。

五、再次恢复系统后，更改你的网络相关密码

包括登录网络的用户名、密码，邮箱的密码和QQ的等等，防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息，所以适当的更改是必要的。

4. 我的电脑中了病毒、木马怎么办

下载个杀毒软件杀毒就行啦，或是手动杀毒 手工查杀木马的通用方法 一、关于木马 木马，其实质只是一个网络客户/服务程序。

网络客户/服务模式的原理是一台主机提供服务（服务器），另一台主机接受服务（客户机）。作为服务器的主机一般会打开一个默认的端口并进行监听 （Listen）， 如果有客户机向服务器的这一端口提出连接请求（Connect Request）， 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。

就我们前面所讲的木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。 二、发现木马 由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。

一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口：1025,1026,1027……，QQ会打开4000、4001……等端口。

在DOS命令行下用stat -na命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用（特别是木马常用端口被占用），那可要好好查查了，你很有可能“中彩”了！比方说木马“冰河”所占用的端口是7626，黑洞2001所占用的端口是2001，网络公牛用的是234444端口……如果发现这些端口被占用了，基本上就可以判定： 你中木马了！ 三、查找木马 首先要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。

多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了），启动项一般都是加在注册表中的，具 *** 置在： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值； HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值；HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。 如木马冰河的启动键值是： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]@="C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE" 广外女生1.51版的启动键值是： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "Diagnostic Configuration"="C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE" 蓝色火焰0.5的启动键值是： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "work Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe" 不过，也有一些木马不在这些地方加载，它们躲在下面这些地方： ①在Win.ini中启动 在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子： run=c:\windows\file.exe load=c:\windows\file.exe 要小心了，这个file.exe很可能是木马。

②在System.ini中启动 System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样：shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。 另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver= 路径\程序名”，这里也有可能被木马所利用。

再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。 ③在Autoexec.bat和Config.sys中加载运行 但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心哦。

④在Winstart.bat中启动 Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。

由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。 ⑤启动组 木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。

启动组对应的文件夹为：C: \Windows\Start Menu\Programs\StartUp，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。 ⑥*.INI 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

⑦修改文件关联 修改文件关联是木马常用手段（主要是国产木马，老外的木马大都没有这个功能），比方说正常情况下txt文件的。

5. 电脑中病毒.木马怎么办

1. 木马克星 2007 0805 始终被模仿，从未被超越！本软件可以查杀14783种国际木马，152种电子邮件木马，保证查杀冰河类文件关联木马，oicq类寄生木马，密码邮寄类木马，网络神偷类9x木马，广外幽灵类 /soft/3252 3. 木马杀客 V5.2 Build 1225 *注意：木马杀客软件已经被风云谷科技（木马清道夫）收购，在此仅提供老版供大家试用 /soft/24158 4. Windows木马清道夫 2007 10.1 Build 0810 上网必备版 《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品，是全新一代的木马克星！《Windows木马清道夫》可自动查杀近10万种木马，配合手动分析可 /html_2/1/106/id=10982pn=0 6. 木马克星 2007.0822 杀木马工具，可以查3万种国际木马，1053种密码偷窃木马，保证查杀传奇密码偷窃木马，灰鸽子API反杀病毒软件类木马，冰河类文件关联木马，密码解霸，魔兽世界杀手木马等游戏密码邮寄木马，内置木马防火墙，任何黑客程序试图发送密码邮件，都需要Iparmor 确认，不仅可以查杀木马，更可以反 dl.pconline/html_2/1/63/id=1025pn=0 7. Windows木马清道夫 2007 V10.1 B。 《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品，是全新一代的木马克星！《Windows木马清道夫》可自动查杀近10万种木马，配合手动分析可 /soft/21565 8. QQ病毒木马专杀工具 QQKav 2007 Build 0802 QQKav2007建军节版更新情况（病毒库版本：2007.8.1）1.新增查杀最新QQ病毒、木马、U盘病毒、恶意程序及其变种550余个；2.新增屏蔽最新QQ短信诈骗消息、骗汇款消息、恶意网站6 /soft/3737 10. 木马杀客 V2007 Build 0530 全新一代的木马杀客，能有效查杀最新流行的QQ木马、网络游戏木马、网页木马等，而且提供快速查杀，一键修复注册表、IE等强大功能，小而精焊，简单易用，是一款不可多得的木 /soft/6901 11. QQ病毒木马专杀工具 QQKav V2007。

QQKav 2007 七夕版 更新情况（病毒库版本：2007.8.19） 1.新增查杀最新QQ病毒、木马、U盘病毒、恶意程序及其变种300余个； 2.新增屏蔽最新QQ短信诈骗消息、骗汇款消息、恶意网 /soft/14305 12. Windows木马防火墙 2007 6.0 Build 0810 上网必备版 据调查，世界上每3台电脑上就有一台感染了木马病毒，而且逐年呈上升趋势。木马已经严重影响到我们的生活。

感染木马后，您的个人隐私，银行帐号，QQ密码，网络游戏密码以及 /soft/21579 14. 木马清除专家2007 0810 木马清除专家2006是专业防杀木马软件，针对目前流行的木马病毒特别有效，彻底查杀各种流行QQ盗号木马，网游盗号木马，冲击波，灰鸽子，黑客后门等上万种木马间谍程序，是您电脑 /soft/13068 16. 木马清除大师 2007 V3.2 Build 0。 国际一流的木马间谍清除软件，2007完全免费查木马，九大实时监控和接近对7万多种木马间谍的查杀，使您的计算机如铁桶一样密不透风，让您高枕无忧，真正的御木马于千里之外： 新的 /soft/15035 17. 木马防线2005+ 4.8.6 木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版本，具备间谍软件/木马查杀、系统安全管理、网络保护等功能。

它采用全新的高速智能检测引擎 /soft/37900 18. QQ木马病毒专杀大师 V9.84 《QQ木马病毒专杀大师》是专门针对各种QQ木马病毒，各种广告间谍程序，黑客盗号程序及各种流氓软件而推出的专杀工具。马上下载，迅速还您一个真正干净的空间。

相信它一定会 。.。

6. 电脑被植入木马怎么办

您好！

首先，建议您安装正版的杀毒软件，建议您安装金山毒霸，并卸载掉试用版的卡巴斯基和360卫士。可以再安装个腾讯电脑管家即可。这样既可以避免电脑再次中毒，并可以用腾讯电脑进行优化，保证电脑运行流畅。

目前，既然您重新格式化了硬盘，说明应该不是木马的问题。因为硬盘格式化后，计算机里面应该是空的，不含任何相应程序的。

建议您格式化后，安装个正式版的系统，就win7专业版就可以了，没有必要安装成什么旗舰版等。

然后安装金山毒霸和腾讯电脑管家即可。其它的安全软件和优化软件就无需安装的。

有问题欢迎追问。

希望可以帮到您！

7. 电脑中了木马怎么办啊

教你三招避免病毒：

1. 打开U盘之前最好养成先杀毒的习惯。

2. 在论坛里看到链接不要随便点开，尤其是用美女及免费吸引你点击欲望的。

3. 最权威的下载站有天空、太平洋、霏凡、华军等。下载后安装的时候一步一步看清楚，费不了几分钟的事。

杀毒软件要根据自己电脑的性能来选择。卡巴，NOD32,AVG并称世界三大最好的杀毒软件。国产的瑞星，金山还是靠边站吧（不是说不爱国什么的，技术确实不行没办法。等以后真磨练得差不多了再出来赚钱，国人还是会支持的）。

电脑性能好的可以选择卡巴斯基，杀毒能力强但占用资源大。性能一般的可以选择NOD32，杀毒快，占用资源小。还可以选择AVG，杀毒能力和效率都适中，是木马的克星，胜在防毒能力上。

最最重要的是，无论哪种杀毒软件，都要定期升级。定期杀毒，如果你不这样做，就算你装世上最强的杀毒软件，还是会中毒。

另外，经常使用360，配合杀毒软件保护电脑安全。360在查杀恶意软件和修补系统漏洞上应该是首屈一指了，说实话比卡卡强多了。但是杀木马能力还要再加强才行，像目前这样才有10W木马库肯定不行。

Ghost备份是必要的，但是一定记得在所有程序装完之后，或者系统状态良好的情况下备份，要不然还不如重装系统。

NOD32， （ 下载地址： ）。

AVG7.5 （ 下载地址： ）。

如果还有其他问题请加我QQ328678008，最后如果你觉得我的回答好的话请给予采纳！谢谢！！

!!!