教你如何自己动手查杀木马！

　　如今木马数量众多、防不胜防，只要你能上网，就可能中弹落“马”，由于许多杀毒软件不能查杀木马，因此很多人中了木马之后，还全然不知呢！直到有一天你的网游帐号、装备丢失了，网银存款被盗了，才知道是木马所为。因此掌握手工查杀木马的技巧，是网上生活必备的技能，你可以用下面的方法来手工查杀木马：

　　一、检查木马的方法

　　1、启动任务管理器

　　按Ctrl Alt Del键启动任务管理器，点击“进程”选项卡，查看其中是否有陌生进程，记录下来，暂时别动它。

　　2、检查本机端口

　　启动一个命令提示符窗口，键入netstat -an 看看是否有异常端口，建议使用TCPView（下载地址http://xj-http.skycn.net:8080/down/tcpview.zip）、或者Active Ports（下载地址http://www.ttxx.com/download.asp?id=9213&downid=3）来查看端口与进程的关系（如下图），找出使用异常端口的进程，记录下来。

　　3、在注册表中检查

　　单击“开始”/运行，键入Regedit打开注册表，检查其中是否有木马，记录下来，暂时不要更改。

　　（1）检查自启动项

　　查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、 HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值，检查其中是否有程序，木马喜欢藏在这些位置。

　　（2）检查文件关联是否被修改

　　国产木马还喜欢修改文件关联，例如TXT文件通常是由记事本（Notepad.exe）来打开的，如果你中了国产木马冰河之后，则会被修改为用木马程序打开，因此只要你一打开文本文件，就会自动启动木马。

　　木马修改文件关联的方法是：修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。

　　注意：木马不仅仅只会修改TXT文件的关联，有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马，你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。

　　4、检查系统目录中文件

　　启动资源管理器，点击“工具”/文件夹选项/查看，设置显示全部文件（包括受保护文件），不要隐藏已知文件的扩展名，然后打开Windows\ 及 Windows\system32目录中的文件，按建立时间排序，找出建立时间或修改时间异常的程序，记录下来。

　　5、检查与启动相关的文件

　　（1）检查启动组

　　启动组也是木马藏身的好地方，WinXP启动组对应的文件夹为：C:\Documents and Settings\帐户\「开始」菜单\程序\启动，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders，右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动"，你应该检查这些地方。

　　（2）检查Autoexec.bat、Config.sys和Winstart.bat

　　Autoexec.bat和Config.sys都位于C盘根目录下，在它们中加载木马程序并不多见，但你也不能掉以轻心，最好检查一下。

　　Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件，在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马，因此你要打开它检查。

　　（3）检查Win.ini和System.ini

　　Win.ini位于Windows的安装目录下，其[windows]字段中有启动命令“load=”和“run=”，通常“=”后面是空白的，如果后面跟着程序，比如：run=c:\windows\spy.exe load=c:\windows\spy.exe ，这个spy.exe很可能就是木马程序！

　　System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处，木马通常会将该句变为这样：shell=Explorer.exe spy.exe，注意这里的spy.exe就是木马服务端程序！ 检查System.ini中的[386Enh]字段，此段内的“driver=路径\程序名”，也是木马经常隐藏的地方；检查System.ini中的[mic]、[drivers]、[drivers32]三个字段，它们也是添加木马的好场所。

　　二、清除木马的方法

　　清除木马应该按照以下的顺序进行：先停止进程，然后清理注册表相关表项，最后删除硬盘上木马文件。

　　有些木马，因为使用了线程注入或三线程保护方式，需要使用相关工具进行清除。对于exe文件关联类木马，清除之后可能会出现exe文件无法打开的现象，假如系统中没有相关进程监视这个表项，你可以这样处理：将regedit.exe 复制为 regedit.com，并运行 regedit.com，将 exe 文件关联改回来即可。

　　三、在线安全检测

　　按照上面的方法查杀木马后，如果你还不放心，可以在网上找个在线安全测试的网站，对你的系统当前安全情况进行检查，不过在线检测前，请关闭你的防火墙。目前这类测试各网站都是免费的，建议你去下面知名的网站测试：

　　1、诺顿在线安全检测http://www.symantec.com/region/cn/

　　诺顿是网络安全的鼻祖，它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描，利用木马常用的方法尝试与你的电脑进行Internet 通信；它还可以扫描你的网络漏洞、NetBIOS可用性，确定黑客是否能访问你机器中的信息。扫描完成后，会显示详细的分析结果。

　　2、金山木马专杀http://scan.kingsoft.com/scan_mm.htm

　　著名的杀毒厂商金山公司提供的在线木马专杀服务，目前该服务完全免费。

　　3、天网安全在线http://old.sky.net.cn/main/view.php?cid=170

　　可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时，在倒数时间内，如果你的电脑出现蓝屏死机，则表示你的电脑不安全，你可以下载该网站提供的个人电脑网络安全软件，来修补目前的安全漏洞。

　　4、千禧在线--在线检测http://www.china-yk.com/tsfw/onlineclean/index.asp

　　免费检查你的电脑有那些端口开放或关闭，是否有木马；与“北京趋势科技”合作，提供了在线按需扫描病毒服务。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有