[交流] 9 电脑木马查杀大全

9 电脑木马查杀大全  
2005-08-09 10:25 作者：中安网培 来源：eNet论坛  



【简 介】
常在河边走，哪有不湿脚？所以有时候上网时间长了，很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢？  

　　　　  加入收藏　 设为首页  
  






--------------------------------------------------------------------------------

　　常在河边走，哪有不湿脚？所以有时候上网时间长了，很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢？

　　一、手工方法：

　　1、检查网络连接情况

　　由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分——proto（连接方式）、local address（本地连接地址）、foreign address（和本地建立连接的地址）、state（当前端口状态）。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

　　2、查看目前运行的服务

　　服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

　　3、检查系统启动项

　　由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

　　Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！

楼主好像不是叫我们杀木马而是叫我们辨认罢了。
你在 1 和 2 所说的并没有什么帮助，就算禁止了该服务，从新开机时该服务可能又会从启。
而注册表地查找本来就很麻烦，如果不慎删除其中的文件可能导致系统不能重启。
有些病毒会在电脑留下隐藏文件，就算你删除了注册表的 registry key，下次开启电脑时该 registry key 也会恢复！确切地说,没有真正的杀木马方法。如果太严重，只好格式化电脑了！

之前电脑中毒就重装系统，现在装了瑞星感觉好多了，不过还是要感谢楼主！！