管理学是本科还是专科:计算机木马

建议用Ewido。许多的反木马程序中，Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在http://www.anti-trojan-software-reviews.com/上的测试里表明，它可以有效地检测出多形态和进程注入式木马，这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本，Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了，和kaspersky结合使用加上ZoneAlarm防火墙，可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件，并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶。
去安全模式中杀毒。再不行，就手动杀吧：
木马的自运行方法

前两天在一个E文站点看到一篇关于TROJAN的简单介绍，虽然是属于比较浅显的知识，但是感觉写得还不错，所以翻译其中一小部分给大家共享。

Trojan，这里简称为木马。

多数木马分为两个部分，客户端和服务端，但是很多木马不提供客户端，它们使用通用的telnet作为客户端，或者是它们完全是自动地在做它们要做的事情（比如键盘记录、嗅谈监听等等），完全不需要入侵者更多地干预。可是，那种客户/服务器式的木马则需要入侵者进行交互式xx作。一旦肉鸡在不知情的情况下运行了木马的服务端，入侵者就可以通过某个端口连接到肉鸡，开始使用木马。TCP是最常使用的协议，但是也有一些木马使用ICMP和UDP协议。当木马的服务端在肉鸡上执行以后，它通常是把自己隐藏在计算机上的某个地方，并且在入侵者设定的端口开始监听，等待连接。

为了能够连接肉鸡，必须知道肉鸡的IP，有些肉鸡的IP是动态变化的，比如电话拨号用户或者ADSL虚拟拨号用户。很多木马具有自动发送肉鸡IP到入侵者邮箱的功能，或者是通过ICQ或者IRC来发送。

当肉鸡重新启动的时候，绝大多数木马都有自启动的方法，这些方法包括：使用注册表、使用windows系统文件、使用第三方程序。

1、使用系统文件启动木马

*Autostart Folder
C:\Windows\Start Menu\Programs\startup
这个文件夹是windows启动之后自动运行的文件夹，放在这个下面的任何程序都将自动运行，当机器重新启动的时候。

*Win.ini
如果win.ini中包含下面的，则trojan将自动执行
load=Trojan.exe
run=Trojan.exe

*System.ini
Shell=Explorer.exe trojan.exe
系统启动的时候将自动执行跟在explorer后面的程序

*Wininit.ini
放在该文件下的程序将自动执行，执行完毕后就删除自己，特别适合木马自运行使用

*Winstart.bat
机器启动时的自运行批处理文件
@trojan.exe
使用上面这个语句，木马就自动运行了

*Autoexec.bat
这个是DOS命令行自运行批处理文件，使用
@trojan.exe

*Config.sys
这里也可以自动加载木马

*Explorer Startup
如果存在c:\explorer.exe，则windows将首先执行该程序，而不是通常要执行的c:\Windows\Explorer.exe，这样木马可以把自己改名为explorer.exe，存放在c:\下，这样就执行了它。

2、使用注册表

下面都是木马的藏身之地

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"

另外木马也可以在这里运行
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情况下，这个键值应该是"%1 %*"，如果是这样trojan.exe "%1 %*"，那么就可以自动启动木马了

3、使用第三方程序

*ICQ 网络探测自动执行程序

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]

当ICQ探测到机器存在INTERNET连接的时候，防在该键下的所有程序都将自动执行，木马可以放在这里运行。

*ActiveX组件

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\InstalledComponents\KeyName]
StubPath=C:\directory\Trojan.exe

自己动手删除时常来袭的木马、病毒

我中了一个小破木马，开了个鬼端口。于是我开始自己手动删除，我一般不用杀毒软件，那些软件都是哄人的，比如一个简简单单的happy time都不能很好的清除！最后还是要靠我自己来~

我建议有能力的话，时刻注意系统的变化，奇怪端口、可疑进程等等。
现在的病毒都不象以前那样对系统数据破坏很严重，也好发现的多， 所以尽量自己杀毒，杀毒（较简单的病毒、木马）大致要分几步：

1. 检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，再将可疑的删除。
2. 删除上述可疑键在硬盘中的执行文件。
3. 一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。
4. 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main和中的几项（如Local Page），如果被修改了，改回来就可以。
5. 检查HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.exe等的默认打开程序进行病毒“长生不老，永杀不尽”的。
6. 如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，发现它还偷窃系统密码并建立%systemroot%\system\mapis32a.dll文件把密码送到一个邮箱中，由于我用的是W2K，所以它当然没有得手。

至此，病毒完全删除！

用病毒的专杀软件
在用超级兔子（你一定会喜欢的！）
杀不了就只能重装系统了

用卡巴最新版本：http://www.orsoon.com/Software/catalog179/5385.html (KEY到2007年，下载后，KEY就在里面)

随着网络的发展，业已使网络消费成为时尚和效率的代名词。越来越多的网络生活方式也进入大家的世界:庞大的网络游戏市场、琳琅满目的网络商店、快捷的网上银行等等，这对于如今新生代的我们无疑是非常重要的生活方式。但是在享受网络给我们带来的方便和快乐的同时,也不免要担心"病毒、黑客以及木马"的威胁,网上的浏览也变得非常谨慎，不是WWW的网站一般不去打开、带有EXE格式的文件不去理会、尽量不去打开一些QQ陌生人发出的信息、对于个人信箱定时整理等等。时间长了，就感觉网络冲浪有点累,就好比面对一个海阔的天地，但是你并不能自由遨游，而是小心翼翼的，慢慢的左看右瞄之后才迈一步，无疑是降低了效率，增加了精神上的负担。如何才能轻松查杀木马，安全上网呢？北京日月光华公司为广大的计算机用户提供了先进的安全产品与服务，依托强大的技术研发实力和极具前瞻性的目光，该公司自主研发的《光华反病毒软件》，轻松地为您的网络安全提供了坚实的保障。

相信大家对“特洛伊木马（Trojan）”都不会感到陌生，有的朋友甚至是谈“马”色变。木马程序的种类越来越多，其危害性也越来越大，被安装上木马程序的电脑多得数不胜数。现在的木马变的更加具有隐蔽性和破坏性，怎么能安全查杀木马和防止木马侵入呢?下面就让我们来看看这些木马都是怎样工作，我们又应该怎样来清除它们的。

木马不同于病毒,它是一种后台控制程序,这种程序的名字是由古希腊的一个故事而来的，它的大概意思就是神不知鬼不觉地侵入敌方基地以达到攻占的目的。这木马程序也是如此，它分为服务器端程序和客户端程序两个部分。当服务器端程序安装在某台连接到网络的电脑后，就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是，木马是非法取得对对方电脑的控制权，一旦登陆成功，就可以取得管理员级的权利，对方电脑上的资料、密码等是一览无余。虽然在对于计算机本身的破坏上可能没有病毒厉害，但是危害性却是病毒万万不能相提并论的，特别是移植的高级的木马往往比较隐蔽而且功能也非常齐全强大，如果对于计算机进行控制,实施人为的盗窃或者破坏计算机本身的内部文件，所造成的后果都是非常恶劣的。

我们可以使用光华反病毒软件为此提供的实时病毒监控与清除、邮件病毒实时监控与清除，无论任何来源的各类数据，想进出个人计算机，都会被实时地过滤。对于异常的网络数据可以防止进入计算机，利用这些措施，就能防止大部分的木马和病毒侵入，并且可以正常的浏览互联网络。这样既满足了浏览上网的需求,又保障了网络安全，可谓一举多得，部分朋友可千万别因为刚开始操作麻烦而不开监控措施哦。

我们对木马程序不能只采用防范手段，还要将其斩草除根，彻底地赶出你的电脑。 对木马程序的清除有手动和使用软件两种方法，由于木马程序众多，加之隐藏在计算机内部，不容易被大家所发现，所以推荐用《光华反病毒软件》进行查杀，但是要及时的对《光华反病毒软件》进行升级，确保能够对于新生木马和病毒进行清除，当然了，也可以利用过硬的计算机技术进行手动清除。

在平时的电脑操作中，一定要提高警惕，对于来历不明的程序一定要先进行病毒扫描。木马程序一般不是单独存在的，而是进行伪装依附于某个软件程序或者图片上，利用计算机网络这个广阔的传播途径进行传播，当用户打开这些伪装过的程序或者图片之后，往往会出现运行出错的提示，病毒就悄然的进入电脑里面。有时候网友会给你发一些图片或者小程序之类的东西，并且冠上你所感兴趣的话题，这时候你就要注意了，这是传播木马的一贯伎俩，在运行前一定要先用《光华反病毒软件》进行病毒扫描。现在有些木马是在ASP程序下的网页木马，利用用户浏览网页时，强制性下载的木马，当然这些木马是很小的，几乎都觉察不到曾经下载过。所以大家浏览网站的时候千万要谨慎而行。

除了BO、冰河等著名的木马程序，NetBus、NetSpy等程序的破坏性也不小。这些木马程序之所以不容易被人发现，一是因为它们的体积都十分小，一般木马的服务器端程序都只有数百KB；二是因为它们都将自己隐藏得很好，让其不容易被发现。而且现在的许多木马程序都允许改变程序名称、隐藏地点、打开端口等，使其更加隐蔽。所以对于计算机是否中木马扫描端口和硬盘磁盘就是最重要的。打开《光华反病毒软件》主界面菜单栏，在主界面菜单栏上点击“工具→插件→木马搜索”打开木马搜索窗口，其中点击“内存进程”即可查看目前内存中所有正在运行的程序进程，点“启动文件”即可搜索查看到电脑在启动时都运行了哪些程序。如果有可疑的程序在运行，就先用计算机搜索该程序，然后看其所在文件夹，一般木马都是隐藏在Windows的主目录下，并且文件名也和Windows系统文件的名称有所相似。比如有个木马程序的文件名为“Kernel16.DLL”。木马再生能力也十分强，好像表面上是将其文件删除了，但当你一回头它又出现了。所以单单删除木马外程序是不行，这时候要运行《光华反病毒软件》,软件自带查杀木马工具非常方便实用。

很多朋友说计算机木马实在是太可恨了，有时候帐号丢失密码失窃让人感到……使用《光华反病毒软件》就非常痛快，一次性整理好计算机内上万条消息，清理掉那些危害计算机信息的垃圾程序木马，看着屏幕上不停闪烁着的木马病毒杀除进度条，就好象把计算机清洗了一遍，感觉一身的轻快。在计算机整理清理完毕以后，下次使用计算机的时候还要注意，要及时升级杀毒软件，确保自己的网络安全。

你用:木马查杀专家 V2005 Build 601688 杀看看
下栽地址:http://www4.skycn.com/soft/23821.html

你是用什么软件找到的它，就用什么软件做一个DOS启动盘，具体方法软件的工具栏里有。
然后用启动盘启动计算机，在DOS底下进行杀毒
重起计算机在WINDOWS里再杀一遍
OK 搞定