黑客清除电脑病毒过程（计算机最为彻底的清除病毒的方法）

电脑木马病毒怎么彻底清理

笔记本电脑病毒主要包括以破坏笔记本电脑文件等为目的的普通病毒和通过网络盗取别人笔 记本电脑资料和秘密的黑客、木马病毒。下面分别介绍电脑感染病毒木马后如何查找和清除。

1 普通病毒诊断与排除

笔记本电脑病毒会破坏文件或数据，造成用户数据丢失或毁损;抢占系统网络资源，造成网 络阻塞或系统瘫痪;破坏操作系统等软件或计算机主板等硬件，造成计算机无法启动，因此必须 及时发现并杀掉病毒。

当笔记本电脑感染病毒后通常会出现异常死机，或程序装入时间增长，文仵运行速度下降， 或屏幕显示异常，屏幕显示出不是由正常程序产生的界面或字符串，屏幕显示混乱，或系统自行 引导，或用户并没有访问的设备出现“忙”信号，或磁盘出现莫名其妙的文件和坏块，卷标发生 变化，或丢失数据或程序，文件字节数发生变化，或打印出现问题，打印速度变慢或打印异常字 符.或内存空间、磁盘空间减小，或磁盘访问时间比平时增长，或出现莫明其妙的隐蔽文件，或 程序或数据神秘丢失了，或系统引导时间增长，或可执行文件的大小发生变化等现象。

当笔记本电脑出现上述故障现象后，可以采用下面的方法进行检修。

安装最新版的杀毒软件(如瑞星等)，然后查杀病毒;杀毒时杀毒软件会自动检查有无病毒， 如有病毒，杀毒软件会自动将病毒清除。

2 黑客、木马病毒诊断与排除

黑客、木马病毒的目的一般是为了盗取笔记本电脑用户的个人秘密、银行密码、公司机密等， 而不是为了破坏用户的笔记本电脑，因此笔记本电脑感染黑客、木马病毒后，系统一般不会出现 损坏。只是由于黑客、木马病毒在笔记本电脑中运行需要占用笔记本电脑的资源，因此笔记本电 脑的速度可能变得比较慢，另外，在不使用笔记本电脑的时候，笔记本电脑看起来还是很忙。

如果笔记本电脑感染黑客、木马病毒可以采用下面方法进行检修。

① 安装最新版杀毒软件和防火墙(如瑞星)，然后运行杀毒软件杀毒即可。

② 手动查找黑客、木马病毒，具体的操作方法如下。

◆重新启动笔记本电脑到安全模式下，然后单击窗口中的“查看—文件夹选项”命令，接着单击切 换到“查看”选项卡，在“高级选项”列表框中取消“隐藏受保护的操作系统文件(推荐)”复选框，并选中“显示所有文件和文件夹”单选按钮，然后单击“确定”按钮，让所有文件都可见。

◆打开“我的电脑”中的c盘，查看c盘根目录下是否存在不熟悉的文件。如果有，且日期为发现 中毒现象当天，则将其删除。

◆查看完C盘根目录下后，接着打开C盘中的MNDOWS文件夹，首先按照修改时间顺序徘列图标， 查看最下面的文件。如果发现有中毒现象当天新建的文件，且为没有见过的，将其删除。

◆进入C盘WINDOWS文件夹中的system32文件夹，同样按照修改时间顺序排列图标，查看其中 的文件和文件夹。如果发现当天新建的文件或文件夹有中毒现象，且为没有见过的，将其删除。

◆查看C盘Program Files文件夹中的Intemet Explorer文件夹和Common Files文件夹，按照上面的 方法进行查看。

◆查看注册表的启动项，看有无不认识的启动项目，如果有，将其删除，同时清空临时文件夹 ( C:\WINDOWS\Temp)，接着重新启动笔记本电脑即可。

怎么彻底清除电脑病毒？

有些病毒非常的顽固，在删除后等你重启电脑，它又来了，在此，本文教你几个小方法，轻松彻底地消灭你系统中的病毒。

一、清空 Internet Explorer (IE) 临时文件

杀毒软件报告的病毒如果在类似这样的路径下：c:Documents and SettingsAdministratorLocal SettingsTemporary Internet Files，这通常意味着病毒是通过网页浏览下载的，这时你的浏览器如果没有安装补丁，那么你很可能会中毒。对于这样的病毒，最简单的清除方法就是清空IE临时文件。

二、显示文件扩展名

显示查看所有文件和文件夹(包括受保护的操作系统文件)，很多木马病毒使用双扩展名、隐藏属性伪装，通过查看这个可以让病毒无藏身之处。

三、关闭系统还原

系统还原是修复系统最方便、快捷的一个工具，如果你有创建系统还原点，在发现系统出错或中毒时，恢复到比较早时创建的还原点，就可以修复系统。

如果你发现病毒存在于类似c:System Volume Information的目录下，说明以前创建的还原点里备份了病毒，清除的方法就是关闭或禁用系统还原，这时还原点会被删除，病毒也就不存在了。稍等几分钟之后，你可以重新打开系统还原，再创建一个无毒的还原点。

四、结束病毒进程

打开任务管理器，找出不正常的进程。结束进程是手工杀毒的一个方法。

五、修改服务启动类型 停止/启动服务

有时，病毒是以服务方式加载的，可以用这个方法让病毒程序关闭掉。

六、设置安全的帐户密码

简单密码非常危险，很容易被黑客工具破解，然后，黑客就可以从远程给你的电脑植入木马了。就算有杀毒软件也无忌于事，黑客可以轻易从远程关掉你的杀毒软件。对于一个只用简单口令，又接入互联网的系统来说，风险实在太大了。

七、打开自动更新 使用 Windows Update

使用自动更新，是及时修补系统漏洞的好办法。

八、进入安全模式

正常模式不能把病毒清除干净时，我们通常就要在安全模式下查杀病毒了，有的病毒甚至安全模式也清除失败，你就该尝试一下启动到带命令行的安全模式了，

这两者的区别在于，带命令行的安全模式，只有控制台(CMD)字符界面，没有资源管理器(桌面)，需要一些DOS命令的经验。你可以进入杀毒软件的安装路径，执行命令行杀毒工具。

九、关闭共享文件夹

局域网中可写共享有严重风险，若非必要，还是关掉吧。

十、使用注册表编辑器进行简单的删除/编辑操作

怎样破解电脑的病毒？

计算机病毒黑客清除电脑病毒过程的工作机理

一,引导扇区病毒

二,文件型病毒

三,混合型病毒

一,引导扇区病毒

引导扇区病毒是借由硬盘的开机(BOOT)来感染的,也就是说病毒将磁盘上的BOOT Sector改变.在开机时先将病毒自己的程序由磁盘读进内存中,改变黑客清除电脑病毒过程了磁盘的中断向量后,再交由正常的BOOT程序执行正确的BOOT的动作,也就是说在DOS主程序尚未载入时,病毒就已经读进内存中黑客清除电脑病毒过程了,继而一执行到Dir,Type等,DOS指令就会感染到磁盘里.

引导扇区病毒很难让人发现到它的存在,它不算是常驻,因为在系统尚未Loading进来之前它就已经将系统中的Memory Size自行缩小.缩小的部分就是存放病毒程序的地方.所以很难发现它的存在.但是若注意的话,会发现似乎一个很小的程序也会读得很久.因此若发现如此情形,不妨检查一下磁盘上的BOOT Sector.虽然引导型病毒很毒,但是它的传染方式较文件型病毒不易暗传染.

二,文件型病毒

1,覆盖型病毒

2,前后附加型病毒

3,伴随型文件病毒

文件型病毒的宿主不是引导区而是一些可执行程序.病毒把自己附加在可执行文件中,并等待程序运行.病毒会驻留在内存中,企图感染其它文件.同引导扇区病毒不同,文件型病毒把自己附着或追加在EXE和COM这样的可执行文件上.根据附着类型不同可分为三种文件病毒:覆盖型,前后附加型和伴随型文件病毒.

1,覆盖型病毒

简单地把自己覆盖到原始文件代码上,显然这会完全摧毁该文件,所以这种病毒比较容易被发现.当用户运行该文件时,病毒代码就会得到运行,而原始文件则不能正常运行.现在有些新型病毒可以覆盖写那些不影响宿主程序运行的那部分代码,人们也就不容易发现这种病毒.覆盖病毒的优势就是不改变文件长度,使原始文件看起来正常.杀毒程序还是可以检测到这种病毒代码的存在.

2,前后附加型病毒

前附加型病毒把自己附加在文件的开始部分,后附加型正好相反,这种病毒会增加文件的长度.也就容易被检测和发现,并被清除.

3,伴随型文件病毒

为EXE文件创建一个相应的含有病毒代码的COM文件,当有人运行EXE文件时,控制权就会转到COM文件上,病毒代码就得以运行.它执行完之后,控制权又会转回到EXE文件,这样用户不会发现任何问题.

三,混合型病毒

混合型病毒结合引导型和文件型两种病毒,它们互为感染,是病毒之王,极为厉害,不容易消除.它一般采取以下方法:在文件中的病毒执行时将病毒写入引导区,这是很容易理解的.染毒硬盘启动时,用引导型病毒的方法驻留内存.但此时DOS并未加载,无法修改INT21中断,也就无法感染文件.可以用这样的办法,修改INT 8中断,保存INT 21目前的地址,用INT 8服务程序监测INT 21的地址是否改变,若改变则说明DOS已加载,则可修改INT21中断指向病毒传染段.

第三节 常见计算机病毒

一,CIH病毒

二,宏病毒

三,网络病毒

一,CIH病毒

1998年7月26日,一个名叫CIH的计算机病毒首次露面美国,该病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被清洗.CIH病毒是一种文件型病毒,是第一例感染Windows 95/98环境下PE格式EXE文件的病毒.不同与DOS型病毒,CIH病毒是建立在Windows 95/98平台.CIH有几个版本,其中流行最广的是CIHv1.2:4月26日发作,长度为1003个字节.

1,CIH病毒的运行机制

同传统的DOS型病毒相比,无论是内存的驻留方式上还是传染的方式上以及病毒攻击的对象上,CIH病毒都与众不同,新颖独到.它绕过了微软提供的应用程序界面,绕过了ActiveX,C++甚至C,使用汇编,利用VXD(虚拟设备驱动程序)接口编程,直接杀入Windows内核.

它没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击(Fragmented Cavity Attack),将病毒化整为零,拆分成若干块,插入宿主文件中去.

最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性,向计算机主板的BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例.可以说CIH病毒提供了一种全新的病毒程序方式和病毒发展方向.

该病毒程序由三部分组成:病毒的驻留,病毒的感染,病毒的发作.

(1)病毒的驻留

当运行带有该病毒的.EXE时,由于该病毒修改了该文件程序的入口地址(Address of Entry Point),首先调入内存执行的是病毒的驻留程序,驻留程序长度为184个字节.

(2)病毒的感染

CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows内核底层函数挂接钩子时指针指示的那段程序.其感染过程如下:

①文件的截获

②EXE文件的判断

③PE格式.EXE判别

(3)病毒的发作

①病毒发作条件判断.在CIHv1.4中,病毒的发作日期是4月26日,病毒从COMS的70,71端口取出系统当前日期,对其进行判断.

②病毒的破坏:首先,通过主板的BIOS端口地址0CFEH和0CFDH各BIOS引导块内各写入一个字节的乱码,造成主机无法启动.其次,覆盖硬盘.

2,CIH病毒的预防,检测与清除

CIH并不像人们传说的那样可怕.很多国内外的专家都提出了有效的措施来对付它.

(1)病毒的预防

①采取防止一般病毒的措施;

②修改主机的日期,跳过26日;

③将主板的Flash Rom跳线设置为Disable,阻止病毒改写BIOS.

(2)病毒的检测与清除

由于这一病毒主要是通过Internet和电子邮件传播的,其实时性和动态性是防治这一病毒的难点所在.要全面防治CIH病毒需要能够检测压缩文件病毒,具备病毒实时治愈能力的反病毒产品.目前国内市场已有这种反病毒产品,如KILL98.KILL98防毒墙能够实时监控所有出入系统的文件,对其加以病毒侦测,分析,一旦发现病毒立即加以清除,但并不会影响到文件的正常操作.

二,宏病毒

宏病毒是一种广泛流传的病毒,它在一定的条件下爆发,如每月的13日,并且可以感染Word中的模板文件.台湾I号和II号就是两种宏病毒,它在打开被病毒感染的文档时给出一道数学题,如果算错了,它就打开10个文档窗口.然后,它又给出一道题,如果再算错了,它又会打开10个文档窗口,就这样下去,直到耗尽机器上的系统资源.

1,宏病毒是怎样传播的

一般来说,一个宏病毒传播发生在被感染的宏指令覆盖,改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存储的所有doc文档.当word打开一个.doc文件时,首先检查里面有没有模板/宏代码.如果存在就被认为这不是普通的.doc文件,而是一个模板文件,并执行里面的Auto类的宏(如果存在).

一般染毒后的.doc被打开后,通过Auto宏或菜单,快捷方式和工具栏里的特洛伊木马程序来激活,随后感染诸如Normal.dot或Powerup.dot等全局模板文件得到系统"永久"控制权.夺权后,当系统有文档存储动作时,病毒就把自身复制入此文档并储存成一个后缀.doc的模板文件;另外,当一定条件满足时,病毒就会干些小的或大的破坏活动.

2,宏病毒本身的局限性

由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播.而word在存储模板文件时(Save As/另存为时),不能选择保存类型,只能存为文档模板(.dot).由此,很容易判断出一个文件是否为一个模板文件.如果是一个以.doc为后缀的模板文件,那么可以肯定地说,这是一个被感染的文件,或者是一个"宏病毒遗体".

三,网络病毒

1,网络病毒的特点

因特网的飞速发展给反病毒工作带来了新的挑战.因特网上有众多的软件供下载,有大量的数据交换,这给病毒的大范围传播提供了可能.

因特网衍生出一些新一代病毒,即Java及ActiveX病毒.它不需要寄主程序,因为因特网就是带着它们到处肆虐的寄主.网络病毒一旦突破网络安全系统,传播到网络服务器,进而在整个网络上感染,再生,就会使网络系统资源遭到破坏.

病毒入侵网络的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站.但病毒传染方式比较复杂,传播速度比较快.在网络中病毒则可以通过网络通信机制,借助高速电缆进行迅速扩散.由于病毒在网络中传染速度非常快,故其传染范围很大,不但能迅速传染局域网内所有电缆,还能通过远程工作站将病毒在瞬间内传播到千里之外,且清除难度大.

仅对工作站进行杀毒处理并不能彻底解决问题.网络上的病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则造成网络系统的瘫痪,破坏服务器系统资源,使多年工作毁于一旦.网络一旦感染了病毒,即使病毒已被消除,其潜在危险仍然巨大.病毒在网上被消除后,87%的网络在30天内会再次被感染.

2,网络病毒的传播与表现

大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件.

文件和目录级保护只在文件服务器中出现,而不在工作站中出现,所以可执行文件病毒无法破坏基于网络的文件保护.然而,一般文件服务器中的许多文件并没有得到保护,而且,非常容易成为感染的有效目标.

文件病毒可以通过因特网毫无困难的发送,而可执行文件病毒不能通过因特网在远程站点感染文件.此时因特网是文件病毒的载体.

如果网络服务器计算机是从一块感染的软盘上引导的,那么网络服务器就可能被引导病毒感染,但引导病毒无法通过因特网传播,因为客户机不能对服务器进行扇区级的操作.

3,专攻网络的GPI病毒

GPI意思是Get Password I,该病毒是由欧美地区兴起的专攻网络的一类病毒,是"耶路撒冷"病毒的变种,并且被特别改写成专门突破Novell网络系统安全结构的病毒.它的威力在于"自上而下"的传播.

4,电子邮件病毒

现今电子邮件已被广泛使用,E-mail已成为病毒传播的主要途径之一.由于可同时向一群用户或整个计算机系统发送电子邮件,一旦一个信息点被感染,整个系统受染也只是几个小时内的事情.电子邮件系统的一个特点是不同的邮件系统使用不同的格式存储文件和文档,因为它们往往在远程服务器上.

查杀病毒木马的正确步骤是什么？高手进！

1.进入安全模式

在计算机启动时，按F8键，会出现系统启动菜单，从中可选择进入安全模式。

2.将计算机与网络断开，防止黑客通过网络继续对你进行攻击。

3.显示所有文件和文件夹（包括隐含文件和系统保护文件）

4.禁用系统还原

右键“我的电脑”→系统属性→“在所有驱动器上关闭系统还原”前打上勾→应用（释放硬盘空间、该空间有可能受到病毒攻击）

5.删除病毒/木马程序的自启动项

打开注册表编辑器：开始→运行→输入：regedit→确定

查找自启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夹下的三个子件夹

Run

RunOnce

Runservices

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夹下的三个子件夹：

Run

RunOnce

打开系统配置实用程序：开始→运行→输入：msconfig→确定

（如果Windows2000无此文件，可运行共享文件夹中的msconfig.exe） Fom）

检查：win.ini、system.ini启动配置文件中的加载项

win.ini的[windows]字段中

run=

load=

一般情况下“＝”后面是空白的，如果有后跟程序，如：

run=c:\windows\file.exe

load=c:\windows\file.exe

其中的file.exe很可能是病毒

system.ini的[boot]字段中

shell= explorer.exe file.exe

一般情况下“explorer.exe”后面是空白的，如果有后跟程序，如：

shell= explorer.exe file.exe

其中的file.exe很可能是病毒 4 ）

system.ini的[386Enh]、[mic]、[drivers]、[drivers32]字段中

driver=“路径\程序名”

检查其它启动配置文件、初始化文件、系统配置文件中的加载项：

winint.ini：多用于安装

winstart.bat：由应用程序、Windows自动生成、Win.com加截多数驱动程序后产生，与Autoexec.bat功能相同。

autoexec.bat（一般为隐含属性，掌握对隐含属性文件的搜索）

config.sys（同上）

检查启动组：开始→程序→启动，其中的启动项内容。

对应注册表中的位置：

HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders Startup

人工查杀步骤：先杀进程、再删除病毒文件、最后修复注册表。 j'fP#d%2T1注册表或进程表中发现了病毒，先在进程表中杀进程

打开任务管理器，找到病毒程序的进程，终止运行。

如果不能终止，可运行其它监视进程的工具软件进行终止。

如果仍然不能终止只能重启后进入安全模式，并断开与网络的连接。

在DOS窗口中删除病毒文件，也可在资源管理器中删除，但病毒可能会自行恢复。

重启后回到注册表搜索、删除全部病毒的残余信息，尤其是启动项中的信息。

如何彻底清除电脑病毒？

有些病毒非常的顽固，在删除后等你重启电脑，它又来了，在此，本文教你几个小方法，轻松彻底地消灭你系统中的病毒。 一、清空 Internet Explorer (IE) 临时文件 杀毒软件报告的病毒如果在类似这样的路径下：c:Documents and SettingsAdministratorLocal SettingsTemporary Internet Files，这通常意味着病毒是通过网页浏览下载的，这时你的浏览器如果没有安装补丁，那么你很可能会中毒。对于这样的病毒，最简单的清除方法就是清空IE临时文件。 二、显示文件扩展名 显示查看所有文件和文件夹(包括受保护的操作系统文件)，很多木马病毒使用双扩展名、隐藏属性伪装，通过查看这个可以让病毒无藏身之处。 三、关闭系统还原 系统还原是修复系统最方便、快捷的一个工具，如果你有创建系统还原点，在发现系统出错或中毒时，恢复到比较早时创建的还原点，就可以修复系统。 如果你发现病毒存在于类似c:System Volume Information的目录下，说明以前创建的还原点里备份了病毒，清除的方法就是关闭或禁用系统还原，这时还原点会被删除，病毒也就不存在了。稍等几分钟之后，你可以重新打开系统还原，再创建一个无毒的还原点。 四、结束病毒进程 打开任务管理器，找出不正常的进程。结束进程是手工杀毒的一个方法。 五、修改服务启动类型 停止/启动服务 有时，病毒是以服务方式加载的，可以用这个方法让病毒程序关闭掉。 六、设置安全的帐户密码 简单密码非常危险，很容易被黑客工具破解，然后，黑客就可以从远程给你的电脑植入木马了。就算有杀毒软件也无忌于事，黑客可以轻易从远程关掉你的杀毒软件。对于一个只用简单口令，又接入互联网的系统来说，风险实在太大了。 七、打开自动更新 使用 Windows Update 使用自动更新，是及时修补系统漏洞的好办法。 八、进入安全模式 正常模式不能把病毒清除干净时，我们通常就要在安全模式下查杀病毒了，有的病毒甚至安全模式也清除失败，你就该尝试一下启动到带命令行的安全模式了， 这两者的区别在于，带命令行的安全模式，只有控制台(CMD)字符界面，没有资源管理器(桌面)，需要一些DOS命令的经验。你可以进入杀毒软件的安装路径，执行命令行杀毒工具。 九、关闭共享文件夹 局域网中可写共享有严重风险，若非必要，还是关掉吧。 十、使用注册表编辑器进行简单的删除/编辑操作

简单的电脑病毒如何手动去除？

第一、全面检测计算机

对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简单的方法——运用SRE这个软件，SRE全名System Repair Engineer。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以对计算机进行较为全面的扫描了。

对于不想自己分析的新手，请把日志贴到论坛上，会有人帮你解决。

第二、分析扫描日志

这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法

1、了解日志

SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目

2、看进程

看进程，看什么呢?看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:windows和C:windowssystem32下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方。

对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。

3、看启动项(包括注册表启动项、启动文件夹、服务、驱动)

看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。

4、对比

对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。

5、看其余项目

第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。

第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。

第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。

第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下：

Attrib –s –h –r –a X:autorun.inf

Attrib –s –h –r –a X:对应启动文件(EXE或者PIF)

Del X:autorun.inf

Del X: 对应启动文件(EXE或者PIF)

其中X代表感染的盘符。

说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。

第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。

第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:WINDOWSsystem32driversetc，这个处理最好是在病毒删除以后。

第三、处理所有可疑文件(清除病毒文件)

这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用SRE这类日志扫描程序删除，就非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的自动检测启动项是否被修改，你用SRE删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运行，下一点就说明了这个。第二，有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么SRE对其根本没有效果。那我们怎么进行处理呢，最可靠的方法还是使用冰刃(IceSword)。

当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞，利用这个漏洞，病毒可以结束掉冰刃。

废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设置，选中禁止线程创建。然后就可以做下面的处理了

删除方法：

第一种情况，有确实的EXE进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可;如果是服务启动，在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可;如果是驱动启动，可以打开注册表进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices找到对应的删除即可，也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。

第二种情况，无确定的EXE进程，现在很多木马喜欢用DLL潜入方式，比如江湖木马，征途木马，这些木马对应的启动项目是一个EXE文件，而最终起作用的是一个潜入进程的DLL，找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先删除启动项。然后强制删除对应文件，最后强制删除DLL文件重新启动后即可完成杀毒，如果找不到对应的DLL，不删除也可以，此DLL会成为系统垃圾，放在它该存在的位置，而不在产生作用。

第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释)，如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功删除就不用做这一步)，并且打开我的电脑，找到对应位置，建立一个同名的文件夹(包括扩展名)，这样病毒将不会再产生，然后运用Filemon这个文件监控软件，进行监控，在监控过程中，逐一运行软件，看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装，即可。

注册表启动项

在SRE里面，这册表启动项包括了Winlogon启动，普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了，当然因为每一种系统(盗版方式不同或者正版等等)不同，可能扫描出来的不仅相同，剩下的需要大家经验积累。

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

[(Verified)Microsoft Corporation](启动输入法)

超级兔子、MSN Messenger等通过此项目启动

[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]

[N/A]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 [(Verified)Microsoft Corporation](微软输入法启动项)

[(Verified)Microsoft Corporation] (微软输入法启动项)

[(Verified)Microsoft Corporation] (微软输入法启动项)

暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]

[(Verified)Microsoft Corporation]

[(Verified)Microsoft Corporation](Winlogon启动项，逗号后面若有东西90%是病毒)

[(Verified)Microsoft Corporation]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]

[N/A](初始化动态链接库，若这里面有东西90%是病毒)

以上只进行了概述

启动文件夹

这个最好看，只有部分软件修改这里，典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少，早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。

服务

这个比较好看，第一看服务名称后面的状态，SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态]，其中当前运行状态是表示扫描的时候计算机是否运行了此服务，Running表示运行、Stopped表示没有运行;启动状态，表示此服务是如何启动，Auto Start表示自动，Disabled表示已禁用，Manual Start表示手动启动。其中重点看Running和Auto Start的项目，如果此项目和你安装的软件和驱动程序无关，那就可能是病毒。

驱动

我经过5年的杀毒经验，也不敢轻易动这个项目，只能介绍一条经验，就是如果一个驱动全部为数字，可能为病毒文件。因为现在各种品牌的驱动都不一样，所以其他的就记不住了。

鉴于启动项确定比较困难，希望新手在安装计算机后，做一次扫描备份，可以通过对比的方法，来看是否增加了启动项，如果此期间没有安装任何驱动和软件，那么就可能不是正常文件，就要小心的进行检查了。

计算机病毒，木马的查杀及其原理？

“木马”程序是目前比较流行的病毒文件黑客清除电脑病毒过程，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其黑客清除电脑病毒过程他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性黑客清除电脑病毒过程；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧？？)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和无马后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

下面给大家说一下我机器的防护装备：(一共就5样)

XFILTER个人防火墙：这个防火墙没什么防病毒的功能，它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年，它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络，是否放行。它就是这样来防范的。

瑞星杀毒软件：以杀各种恶意病毒和木马为主，2004版专门提供游戏保护。

还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。

木马克星：这个我就不多说了，网络游戏玩家必备的东东。

十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。

以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。