最快的查找木马方法_找到自己的三个木马程序

如何关闭常见木马和未授权控制软件

如果计算机里存在着木马病毒和未经授权的远程控制软件，那别人不但能得到你所有的隐私信息和账号密码，更能随时夺走计算机的控制权，本文主要讲述如何关闭这两类软件。

需要说明的一点是，本文介绍的各种木马及未授权被安装的远程控制软件均是由于没有正确的设置管理员密码导致系统被侵入而存在的。因此请先检查系统中所有帐号的口令是否设置的足够安全。

口令设置要求：

1.口令应该不少于8个字符；

2.不包含字典里的单词、不包括姓氏的汉语拼音；

3.同时包含多种类型的字符，比如大写字母(A,B,C,..Z)、小写字母(a,b,c..z)、数字(0,1,2,…9)、标点符号(@,#,!,$,％, …)。

注意：下文中提到的相关路径根据您的操作系统版本不同会有所不同，请根据自己的系统做相应的调整

Win98系统：c:\Windows、c:\Windows\system

Winnt和Win2000系统：c:\Winnt、c:\Winnt\system32

Winxp系统：c:\Windows、c:\Windows\system32

根据系统安装的路径不同，目录所在盘符也可能不同，如系统安装在D盘，请将C:\Windows改为D:\Windows依此类推。

大部分的木马程序都可以改变默认的服务端口，我们应该根据具体的情况采取相应的措施，一个完整的检查和删除过程如下例所示：

例：113端口木马的清除（仅适用于Windows系统）：这是一个基于irc聊天室控制的木马程序。

1.首先使用netstat -an命令确定自己的系统上是否开放了113端口；

2.使用fport命令察看出是哪个程序在监听113端口；

例如我们用fport看到如下结果：

Pid　 ProcessPort　Proto Path

392　 svchost　-　113　 TCP

C:\WinNT\system32\vhos.exe

我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\Winnt\system32下。

3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。

4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。

5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）。

6.重新启动机器。

以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作：

707端口的关闭：

这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：

1、停止服务名为WinS Client和Network Connections Sharing的两项服务；

2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件；

3、编辑注册表，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值。

1999端口的关闭：

这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：

1、使用进程管理工具将notpa.exe进程结束；

2、删除c:\Windows\目录下的notpa.exe程序；

3、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\Windows\notpa.exe /o=yes的键值。

2001端口的关闭：

这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：

1、首先使用进程管理软件将进程Windows.exe杀掉；

2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件；

3、编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为Windows的键值；

4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除；

5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE ％1为C:\WinNT\NOTEPAD.EXE ％1；

6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE ％1键值改为C:\WinNT\NOTEPAD.EXE ％1。

2023端口的关闭：

这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下：

1、使用进程管理工具结束sysrunt.exe进程；

2、删除c:\Windows目录下的sysrunt.exe程序文件；

3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存；

4、重新启动系统。

2583端口的关闭：

这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：

1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = "c:\Windows\server.exe"键值；

2、编辑Win.ini文件，将run=c:\Windows\server.exe改为run=后保存退出；

3、重新启动系统后删除C:\Windows\system\ SERVER.EXE。

3389端口的关闭：

首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

Win2000关闭的方法：

1、Win2000server

开始--程序--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

2、Win2000pro

开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

Winxp关闭的方法：

在我的电脑上点右键选属性--远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4444端口的关闭：

如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下：

1、使用进程管理工具结束msblast.exe的进程；

2、编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的"Windows auto update"="msblast.exe"键值；

3、删除c:\Winnt\system32目录下的msblast.exe文件。

4899端口的关闭：

首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭方法：

1、请在开始--运行中输入cmd(98以下为command),然后 cd C:\Winnt\system32(你的系统安装目录），输入r_server.exe /stop后按回车。

然后在输入r_server /uninstall /silence；

2、到C:\Winnt\system32(系统目录）下删除r_server.exe admdll.dll raddrv.dll三个文件。

5800，5900端口：

首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭。

关闭的方法：

1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\Winnt\fonts\explorer.exe)；

2、在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:\Winnt\explorer.exe)；

3、删除C:\Winnt\fonts\中的explorer.exe程序；

4、删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值；

5、重新启动机器。

6129端口的关闭：

首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。

关闭方法：

1、选择开始--设置--控制面板--管理工具--服务

找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务；

2、到c:\Winnt\system32(系统目录）下将DWRCS.EXE程序删除；

3、到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\项中的DWRCS键值删除。

有三个avp进程,卡巴却打不开? Trojan PSW.Win30 木马杀不掉..救命啊

Trojan.PSW专杀工具

Trojan.PSW专杀工具 简介杀毒步骤:

用瑞星专杀工具

1.以Administrator身份登陆

2.下载瑞星Trojan.PSW专杀工具

3.断开网络

4.打开浏览器,工具-Internet选项-删除文件-选中"删除所有脱机内容"

5.运行-MSCONFIG,查看启动加载项里可疑启动项删除掉

6.重启机器,按F8进入安全模式

7.使用专杀工具全面杀毒

木马病毒的查杀

首先找到感染文件，其手动方法是结束相关进程然后删除文件。但是目前互联网上出现了各种杀毒软件及专杀，我们可以借助这些安全工具进行查杀。

木马和病毒都是一种人为的程序，都属于电脑病毒，为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用，或为了炫耀自己的技术. 木马不一样，木马的作用是赤裸裸的偷监视别人和盗窃别人密码，数据等，如盗窃管理员密码-子网密码搞破坏，或者好玩，偷窃上网密码用于别处，游戏帐号，股票帐号，甚至网上银行帐户等等.达到偷窥别人隐私和得到经济利益为目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的！导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样，所以木马虽然属于病毒中的一类，但是要单独的从病毒类型中间剥离出来.独立的称之为木马程序。

一般来说一种杀毒软件程序，它的木马专杀程序能够查杀某某木马的话，那么它自己的普通杀毒程序也当然能够杀掉这种木马，因为在木马泛滥的今天，为木马单独设计一个专门的木马查杀工具，那是能提高该杀毒软件的产品档次的，对其声誉也大大的有益，实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果大家说某某杀毒软件没有木马专杀的程序，那这家杀毒软件厂商自己也好像有点过意不去，即使它的普通杀毒软件里当然的有杀除木马的功能。并且，在互联网上公开的病毒，一般杀毒厂商都会更新病毒库，便以查杀。

还有一点就是，把查杀木马程序单独剥离出来，可以提高查杀效率,很多杀毒软件里的木马专杀程序只对木马进行查杀，不去检查普通病毒库里的病毒代码，也就是说当用户运行木马专杀程序的时候，程序只调用木马代码库里的数据，而不调用病毒代码库里的数据，大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的，因为有太多太多的病毒.每个文件要经过几万条木马代码的检验，然后再加上已知的差不多有近10万个病毒代码的检验，那速度岂不是很慢了.省去普通病毒代码检验，是不是就提高了效率，提高了速度呢? 也就是说好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒，但是它自身的普通病毒查杀程序既查杀病毒又查杀木马！

如何查出：

在使用常见的木马查杀软件及杀软件的同时，系统自带的一些基本命令也可以发现木马病毒：

一、检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto（连接方式）、local address（本地连接地址）、foreign address（和本地建立连接的地址）、state（当前端口状态）。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

二、禁用不明服务

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

三、轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是！如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！

联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。

四、对比系统服务项

1、点击“开始，运行”输入“msconfig.exe回车，打开”系统配置实用程序，然后 在“服务”选项卡中勾选“隐藏所有Microsoft服务”，这时列表中显示的服务项都是非系统程序。

2、再点击“开始，运行”，输入Services.msc回车，打开“系统服务管理”，对比两张表，在该“服务列表”中可以逐一找出刚才显示的非系统服务项。

3、在“系统服务”管理界面中，找到那些服务后，双击打开，在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置，一般正常安装的程序，比如杀毒，MSN，防火墙，等，都会建立自己的系统服务，不在系统目录下，如果有第三方服务指向的路径是在系统目录下，那么他就是“木马”。选中它，选择表中的“禁止”，重新启动计算机即可。

4、要点：有一个表的左侧：有被选中的服务程序说明，如果没用，它就是木马。 1、盗取我们的网游账号，威胁我们的虚拟财产的安全

木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。

2、盗取我们的网银信息，威胁我们的真实财产的安全

木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给黑客，直接导致我们的经济损失。

3、利用即时通讯软件盗取我们的身份，传播木马病毒等不良信息

中了此类木马病毒后，可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性。如恶作剧等。

4、给我们的电脑打开后门，使我们的电脑可能被黑客控制

如灰鸽子木马等。当我们中了此类木马后，我们的电脑就可能沦为肉鸡，成为黑客手中的工具。 木马查杀（查杀软件很多，有些病毒软件都能杀木马）

防火墙（分硬件和软件）家里面的就用软件好了，如果是公司或其他地方就硬件和软件一起用。

基本能防御大部分木马，但是的软件都不是万能的，还要学点专业知识，有了这些，你的电脑就安全多了。高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），还要及时更新系统漏洞，如果你都做到了，木马，病毒。就不容易进入你的电脑了。

历史上最厉害的木马病毒有哪些

一、网络公牛。 网络公牛又名Netbull，是国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽，危害很大。同时，服务端运行后会自动捆绑以下文件: win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe。 winnt/2000下：（在2000下会出现文件改动报警，但也不能阻止以下文件的捆绑）notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe；winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件（如：realplay.exe、QQ、ICQ等）。在注册表中网络公牛也悄悄地扎下了根，如下： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。 清除方法： 1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。 3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－附件－系统工具－系统信息－工具－系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如：realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。 二、网络神偷（Nethief） 网络神偷又名Nethief，是第一个反弹端口型木马！ 什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址：1026 客户端的IP地址：80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户向外连接80端口吧， 嘿嘿。最新线报：目前国内木马高手正在大规模试验（使用）该木马，网络神偷已经开始流行！中木马者也日益增多，大家要小心哦！ 清除方法： 1、网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK，神偷完蛋了！ 三、WAY2.4（火凤凰、无赖小子） WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！ 清除方法： 要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！ 注意：在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载，sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 清除方法： 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！ 该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。 清除方法： 1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它。 2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”。 3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？ 哈哈，木马就是如此，骗你没商量！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是HTM文件呢！ Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守护进程MBBManager.exe！想清除我？没那么容易！ 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！ 清除方法： 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager.exe这个进程，然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe，editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WINDOWS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！ 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1，因此要恢复成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1，这样就将HLP文件关联恢复过来了。 好了，可以和聪明基因说“再见”了！ 七、黑洞2001 黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。 黑洞2001服务端被执行后，会在C:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件在机器开机时立刻运行，并打开默认端口2001，S_Server.exe文件用来和TXT文件打开方式连起来（即关联）！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！ 清除方法： 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy（网络精灵） Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。 清除方法： 1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe 回车！ 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\，删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2（默认连接端口27374），服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。 清除方法： 1、打开注册表Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器="C:\windows\system\***"。注：加载器和文件名是随意改变的。 2、打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。 3、打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。 4、重新启动Windows，删除相对应的木马程序，一般在C:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。

电脑病毒木马怎么办

问题一：电脑被设置了木马病毒了，怎么办？ 50分 木马小常识

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。

一、木马的危害

相信木马对于众多网民来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！

木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面！

广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

二、木马原理

特洛伊木马属于客户/服务模式。它分为两大部分，即客户端和服务端。其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例，被控制端可视为一台服务器，控制端则是一台客户机，服务端程序G_Server.exe是守护进程，G_Client.exe是客户端应用程序。

为进一步了解木马，我们来看看它们的隐藏方式，木马隐藏方法主要有以下几种：

1.)在任务栏里隐藏

这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标，傻子都会明白怎么回事。在VB中，只要把form的Viseble属性设置为False，ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.)在任务管理器里隐藏

查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行，那么这肯定不是什么好的木马。所以，木马千方百计的伪装自己，使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。

3.)端口

一台机器由65536个端口，你会注意这么多端口么？而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口，占用这些端口可能会造成系统不正常。这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么？

4.)木马的加载方式隐蔽

木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马，你会运行它才怪呢。而随着网站互动化进程的不断进步，越来越多的东西可以成为木马的传播介质，JavaScript、VBScript、ActiveX、XLM……..几乎每一个新功能都会导致木马的快速进化。

5.)木马的命名

木马服务端程序的命名也有很大的学问。如果你不做任何修改的话，就使......

问题二：我的电脑怎么反复感染木马病毒，怎么解决 你好：

你应该是中的感染型木马，所以只要有一个木马没有清除，那么一段时间之后，就会感染很多文件，造成你反复查杀，都无法清除的现象

你可以访问腾讯电脑管家官网，下载安装一个电脑管家

使用电脑管家工具箱中的顽固木马克星来查杀一下

它专门为普通杀软检测不到，或者检测到无法清除的顽固威胁而设计

采用特别强力的查杀引擎，可以清除各种顽固的木马病毒

如果以后有什么问题，欢迎再来电脑管家企业平台询问，我们会尽心为您解答

问题三：如果电脑系统内存有木马病毒怎么才能清除干净 这是因为现在的很多的木马病毒都是驱动型、注入型的。这类木马病毒都是将自己进程注入到系统的进程中，而且将自己写进系统服务当中，一开机就自动运行，自动从网上下载最新的木马病毒变种，杀毒软件也对之措手无策。对于这类病毒，应该配合手工操作进行杀掉。 首先，必须断开网络，而且最好是进入安全去。这一点一定要注意，不然永远有杀不完的病毒。 1、先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹，去掉“隐藏受保护的系统文件”的选中，让所有的文件都显示出来 2、利用操作系统本身具有的软件限制策略禁止病毒文件或进程被调用运行：手工关闭相关进程后，在“管理工具”→“本地安全策略”→“软件限制策略”→“其他规则”→右键单击→选“新散列规则”→点“文件散列”右边的“浏览”→找到“病毒文件或可疑文件”，点“打开”返回后，将病毒文件安全级别设置为不允许，最后点“确定”；这样就禁止病毒运行或被其他系统进程调用。 3、用360安全卫士扫描，配合使用Unlocker.EXE软件，找到病毒文件，右键单击，选择Unlocker.EXE，在弹出的对话框中，选“解锁”或“过程结束”，再右键单击，选择Unlocker.EXE，如果这回弹出另外一个对话框，可以直接选删除，手工删木马病毒，同样的其他病毒文件也按这样的办法来杀 4、重启，进入安全模式，强烈推荐用卡巴斯基全面扫病毒。 5、杀完毒后须进行下面的操作：我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹，钩选“隐藏受保护的系统文件”的选中，隐藏系统文件。

希望采纳

问题四：我的电脑中了病毒，是木马病毒和后台程序？怎么办？ 建议下载360系统急救箱(原顽固木马专杀大全) 下载完成后断网进入安全模式下查杀，切记一定要断网，如果发现打不开把360急救箱就把它重命名之后打开 。下载不了360系统急救箱软件那么您就叫别人上传一个给你 !或者拿优盘去别的电脑上下载过来！然后重新安装360杀毒全盘查杀!还不行就全盘格式化 重装系统就绝对没问题了！

问题五：电脑中木马病毒了怎么办？ 你电脑里有安全软件吗？没有的话现在赶紧下个腾讯电脑管家，用它对你的电脑进行全盘扫描，深入检查一下。如果真的像你说的是因为下载到了有毒的文件导致的，它会帮你把这个文件揪出来的。你电脑里现在那些乱七八糟的程序，应该是中毒后导致的，这些程序也需要集体删除，你可以在清除病毒后再使用管家的软件卸载功能彻底卸载掉，这样就没事了，不要太担心了，很容易解决的。

现在最新版本的腾讯电脑管家星星版还是金秀贤代言的哦~它除了杀毒还有很多别的功能呢，像小火箭加速就很好用，可以即时立刻为电脑提速；还有管家锁是保护游戏装备安全的，如果你玩游戏是很有用的。

好了我回答这么多，记得采纳我哦！

问题六：电脑被木马攻击了 怎么办 杀不出毒来怎么办 经常上网的你可能都遇到过发现木马病毒却无法杀掉的情况，其实并不是杀毒软件无能，而是病毒和木马总是先杀毒软件一步，病毒和木马技术也是也是计算机行业最先进的技术代表，如果杀毒软件没有检测过或者收到过这个木马病毒的样本，并且这个木马或者病毒的行为和之前的木马和病毒不一样，那么杀毒软件就不会有对策，比方说将自己隐藏在系统进程里，并且没有特殊的的条件不予激活，那么这个木马或者病毒就看起来是一个安分守己的程序。这就是很多时候实际上我们的电脑并不干净，虽然用杀毒软件没有发现木马或病毒。

但是，有时候，我们确实会遇到能够查到木马病毒却无法删除的情况。这种主要是四种原因：

1、木马或者病毒文件“绑架”了程序的核心进程或文件，杀毒软件无法下手（此种情况居多，若下手就有可能是误杀了）；

2、木马或病毒禁止了杀毒软件的某些核心进程或已将杀毒软件禁用；（此种情况也不少，不少木马程序对于国内的杀毒软件就是这么干的）

3、杀毒软件收到了这种病毒的样本，却还没有找到解决的办法；

4、杀毒软件的主动防御机制发现了这个文件的异常行为，并且和以上3条中的某一条相结合；

但是，对于用户的我们如果真的遇到这种查到病毒无法清除的情况怎么办？

对于那些隐藏的比较深的木马或病毒，只有靠对计算机的熟悉程度，经常关注系统的进程来发现；

对于那些能够查到但无法清除的情况反而比较好办了，你可以试试有图给你提供的以下方法。

1、使用木马病毒专杀工具试试。既然能查到病毒的名称，不妨搜索一下是否有专杀软件，金山和瑞星喜欢出专杀工具，360也有不错的木马专杀工具。

2、更换一个杀毒软件。如果当前你的杀毒软件遇到了杀不掉的木马病毒，建议你卸掉当前的杀毒软件（如果你愿意），然后安装其他的杀毒软件试试，特别是比较严格的卡巴斯基或者nod32，并且更新到最新的病毒库查杀一下试试。（很多杀毒软件都可以可以免费试用）

3、手工查杀。比较麻烦，漫漫看。

第一步、查找木马病毒文件。

启动计算机后，按Ctr+Alt+Del或右键单击“任务栏”空白处，选择“任务管理器”，找到进程，看到可疑进程在网上查一下来历，如果嫌疑身份没有排除，就查找位置，如果在windows目录下或者Windows\system32目录下，就更可疑了，如果碰巧和我们杀毒软件查到的是同一个文件，那就可以确信无疑了。记录下他们的详细位置，后面用得到。

第二步、去掉木马病毒自动运行。

如果是Windows Xp、vista、windows7可以 在开始菜单“运行”栏输入“msconfig”，进入启动项管理，如果找不到运行，可以按键盘上的windows徽标小旗帜加 R 键，只留下杀毒软件进程，或者更彻底一些，你可以将所有的对勾都去掉。

第三步、删除木马病毒。

重新启动计算机按F8进入安全模式，逐个寻找在第一步中记录的病毒文件位置，逐个删除（特别提醒：删除有可能造成不测，请慎重，对文件要确认是高度嫌疑文件之后再删除），如果无法删除，可以尝试使用attrib命令在命令行去掉文件各种属性，然后就可以删除了。

第四步、善后工作。

1）、重新启动计算机，如果提示有什么文件找不到，进入注册表（regedit），查找这些文件名称，逐个清空。注意，不是删除相关的项目，而是清空和这些文件相关的项目，例如如果病毒文件绑架核心进程 explorer.exe 那么在注册表中就会在相关的explorer.exe后面加上病毒的名称，以随explorer的启动而自动启动，我们需要清除的是和病毒有关的内容，所以不能将explorer的值也清除掉，这样会造成无法见到桌面。

2）、进入启动项......

问题七：电脑中木马和病毒了，怎么办，还原系统可以吗？ 大多数情况还原了系统之后就可以把病毒清除掉，但是也不是所有情况，比如中毒文件不在C盘而是在其他盘附下，在你运行某些程序的时候有可能使机器再次感染。

关于还原的问题给你解释一下，还原必须是做了备份之后才可以的，当然有些系统盘在安装系统的时候自动的把系统在硬盘里做了备份，这样的系统就可以直接还原，如果你说的系统还原打不开，估计是装系统的时候没有备份或者备份出错，如果是这样的话你可以重装一下系统。

再给点建议吧，如果机器上存有重要的资料的话上网的时候一定要小心，不要打开陌生的链接，不要随便上一些无聊的网站。养成良好的上网习惯是避免中毒最好的方法哦。

问题八：我的电脑有一个木马病毒老杀不掉怎么办？ 病毒什么名字？肯定病毒还没杀完全，有的可以在安全模式下杀干净，有的是病毒加了壳，部分文件杀毒软件识别不出来！

我这里经常遇到的就是fsutk.dll和liprip.dll这两个总是存在的病毒~

其实重做系统也不是好方法，没准哪又感染上它了，你还重做吗？

……

没有提供足够信息，没法提供准确解决方法。

问题九：电脑中木马病毒了，怎么查杀？ 你好！

如果确认机子中了病毒，不要那么惊慌，首先你要确认中病毒的文件存在哪个盘，然后用杀毒软件进行全面的查杀，腾讯电脑管家基本可杀市面上出现的病毒，并且病毒库还在不断的更新中，完全可以帮你解决病毒的问题

首先我们在腾讯电脑管家官网下载腾讯安全管家，安装完成后打开，选择【杀毒】--【全盘查杀】

腾讯电脑管家企业平台：zhidao.baidu/c/guanjia/

问题十：木马病毒如何彻底清除？ 彻底清除trojan-downloader.win32.agent.bbb病毒前些天上网下载一个软件，下载后发现是exe格式的，有点怀疑的病毒。但是由于要得很急，所以也没杀毒就直接运行了，结果发现果然是一个流氓软件包。这个流氓软件包首先在你电脑里安装一个木马病毒，然后会不断地下载安装各类流氓软件到你的电脑上。做这个软件包的人真是太缺德了，会生个小孩都搞不好会没 *** 。先不骂这些人了，说正事。经过仔细检查发现，这个核心的木马就是trojan-downloader.win32.agent.bbb病毒。中了这个病毒后，我是这样清除的：1、用超级兔子清理自动安装的流氓软件。再清理注册表。2、用mcafee查毒，没发现病毒。改用奇虎的安全卫士360（我很不喜欢这个由周宏一这个老流氓投资开发的软件），但抱着死马当活马医的想法，还是试了一下。发现每次把由木马自动安装的流氓软件清理掉后，再起机又会重新安装，360对这个病毒也起不到什么作用。后来再改用卡巴斯基，发现可以删除大部分被木马程序安装的其他流氓软件和木马，就剩下trojan-downloader.win32.agent.bbb这个病毒删除不了。3、经过分析，发现这个病毒是写入到explorer进程的，核心是一个名为kumiq.dll的组件（这个组件的名字不一定，也可能你电脑上是别的名字），这个组件是在windows/system32目录下。由于被explorer调用，所以无法删除，因为explorer是随系统启动就会运行的，因而进入安全模式也没用。4、进到注册表(进入注册表方法：点“开始”＝》“运行”＝》键入“regedit“，点确定，然后按F3,把下面的这个键值名复制进去。在操作注册表的时候最好做一下备份，），把所有与这个名字（kumiq.dll)有关的项目全部删除，但经这么一番折腾后，发现起码不会再自动安装其他木马和流氓软件了（以前每次启动都会自动生成一个pvsec.dll的组件，并且进程里面有好几个木马的进程，这些全都被清理掉了）。5、下载一个叫做unlocker的软件，安装好后把kumiq.dll的调用进程杀掉，再删除这个组件（用其他所谓的文件粉碎机之类的东西是删不掉这顽固的病毒组件的）。6、重启后，再用卡巴斯基全面查一遍毒，防止残留。再用超级兔子清理一下注册表（因为清理掉了很多病毒组件，如果不清理注册表，开机会提示“***找不到组件”之类的，很烦人）。完工。8、总结：病毒虽然清理掉了，但是由于在手工删除注册表字段的时候下手太狠，可能把一些与病毒无关的也干掉了，所以重启后，个人设置以及其他程序的默认设置全部丢失。虽然后来手工把一些丢失的字段加了进去，解决了一部分问题，但总是会发现新的问题，系统不是很稳定。并且为了手工清除这个病毒，花了很长的时间，这个时间足够重新安装一遍系统了。我是为了顺便研究一下这个病毒，才没有选择重新安装的。所以大家如果是遇到这个病毒，我建议还是把要紧的资料备份一下，再重新安装一遍系统来得更快。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝由于trojan-downloader.win32.agent.bbb病毒会修改系统配置，可能一些组件的调用会写入到IE的一些配置程序里，而不是写入到注册表中。建议重新安装IE试试。to:qiujiu可能是你对unlocker的使用不太熟悉，简要介绍一下unlocker的使用方法：1、安装unlocker2、找到你要删除的文件，点右键，在右键菜单中选择unlocker选项。然后会......