手机中木马病毒的症状有哪些？

手机中毒一般分为三种：

蓄意破坏型病毒：主要特征为手机变慢，自行删除或隐藏手机内的文件，增大手机内存使用量，频繁死机等明显的现象；

恶意吸费型病毒：一般隐藏较深，造成花费的恶意流失。其特征一般是突然收费或订阅短信增多，手机话费被恶意扣费；

恶作剧类型病毒：一般是恶意传播，主要是造成用户使用障碍。主要特征明显为手机中出现恶意弹窗，手机话费被恶意扣费，手机中的账号被盗等。

什么叫 木马病毒 能给我做一个详细的解释吗?~~

什么叫木马病毒

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾

名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。它

的传染方式是通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性：会修改注册表、驻留内存、在系统中安装后门程序、

开机加载附带的木马。

木马病毒的破坏性：木马病毒的发作要在用户的机器里运行客户

端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马

程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意

控制此计算机，进行文件删除、改密码等非法操作。

防范措施：用户提高警惕，不下载和运行来历不明的程序，对于

不明来历的邮件附件也不要随意打开。小鱼

http://www.sjzdaily.com.cn/back0701/itpd/20040517/GB/itpd^4^ryeufrhdjkghfkgshjfg5^wb12-002.htm

什么是木马病毒？

什么是木马- -

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等

从对基本的地方了解木马

端口

你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑。

黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netspy.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.exe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的7306端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。接下来，你可以利用软件--

如何发现自己电脑中的木马

再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中了netspy.exe，只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入 http://10.10.10.10:7306/，如果浏览器告诉你连接不上，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的netspy.exe的版本，那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法，但是需要你知道各种木马所开放的端口，已知下列端口是木马开放的：7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口，也还是不能完全防范这些木马的，我们需要--

进一步查找木马

曾经做了一个试验：我知道netspy.exe开放的是7306端口，于是我用工具把它的端口修改了，经过修改的木马开放的是7777端口了，你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析这些开放的端口。

前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。 排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。

扫描这么多端口是不是很累，需要半个多小时傻等了，现在好了，我汉化了一个线程监视器，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得--

在硬盘上删除木马

最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马，但是不能删除netbus木马。

下面就netbus木马为例讲讲删除的经过。

简单介绍一下netbus木马，netbus木马的客户端有两种，开放的都是12345端口，一种以Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS将它放在了注册表中，你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值，你再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长度也被改变了，但是在注册表中的位置不会改变，你可以到注册表的这个位置去找。另外，你可以找包含有“netbus”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，于是有人认为这是傻瓜木马，笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验，将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来，Abcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。

有的时候知道自己中了netbus木马，特别是SysEdit.exe，能发现12345端口被开放，并且可以用netbus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可以检视内存，请打开C:\WINDOWS\DRWATSON.EXE，然后对内存拍照，查看“高级视图”中的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。

好了，来回顾一下，要知道自己的电脑中有没有木马，只要看看有没有可疑端口被开放，用代理猎手、Tcpview.exe都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包含相应的可执行程序，比如，被开放的端口是7306，就找包含“netspy”的可执行程序，三是检视内存，看有没有可以的程序在内存中。

你的电脑上的木马，来源有两种，一种是你自己不小心，运行了包含有木马的程序，另一种情况是，“网友”送给你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难呀。排除了木马以后，你就可以监视端口--

悄悄等待黑客的来临

介绍两个软件，首先是NukeNabber，它是端口监视器，你告诉NukeNabber需要监视7306端口，如果有人接触这个端口，就马上报警。在别人看来，你的电脑的7306端口是开放的，但是7306不是由netspy控制了，当NukeNabber发现有人接触7306端口或者试图进入你的7306端口，马上报警，你可以在NukeNabber上面看到黑客对你做了些什么，黑客的IP地址是哪里，然后，你就可以反过来攻击黑客了。当NukeNabber监视139的时候，你就可以知道谁在用IP炸弹炸你。另外提一下，如果NukeNabber告诉你不能监视7306端口，说这个端口已经被占用了，那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe，这个软件是线程监视器，你可以用它来查看有多少端口是开放的，谁在和你通讯，对方的IP地址和端口分别是什么。

木马病毒的主要特征是

计算机木马的主要特征包括隐蔽性、自动运行性、欺骗性、自动恢复、自动打开端口五种木马程序。

隐蔽性:隐蔽性是指木马必须隐藏在目标计算机中，以免被用户发现。

自动运行性:木马的自动运行性是指木马会随着计算机系统的启动而自动启动，所以木马必须潜入计算机的启动配置文件中，如启动组或者系统进程。

欺骗性:木马之所以具有欺骗性，是为了防止一眼就被计算机用户认出。

自动恢复:木马的自动恢复是指当木马的某一功能模块丢失时，它能够自动恢复成丢失之前的状态。

自动打开端口:木马潜入目标计算机的目的不是为了破坏文件，即使为了获取目标计算机中的有用信息，因此就需要保证能与目标计算机进行通信。

历史上最厉害的木马病毒有哪些

一、网络公牛。 网络公牛又名Netbull，是国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽，危害很大。同时，服务端运行后会自动捆绑以下文件: win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe。 winnt/2000下：（在2000下会出现文件改动报警，但也不能阻止以下文件的捆绑）notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe；winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件（如：realplay.exe、QQ、ICQ等）。在注册表中网络公牛也悄悄地扎下了根，如下： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。 清除方法： 1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。 3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－附件－系统工具－系统信息－工具－系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如：realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。 二、网络神偷（Nethief） 网络神偷又名Nethief，是第一个反弹端口型木马！ 什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址：1026 客户端的IP地址：80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户向外连接80端口吧， 嘿嘿。最新线报：目前国内木马高手正在大规模试验（使用）该木马，网络神偷已经开始流行！中木马者也日益增多，大家要小心哦！ 清除方法： 1、网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK，神偷完蛋了！ 三、WAY2.4（火凤凰、无赖小子） WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！ 清除方法： 要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！ 注意：在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载，sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 清除方法： 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！ 该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。 清除方法： 1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它。 2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”。 3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？ 哈哈，木马就是如此，骗你没商量！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是HTM文件呢！ Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守护进程MBBManager.exe！想清除我？没那么容易！ 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！ 清除方法： 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager.exe这个进程，然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe，editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WINDOWS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！ 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1，因此要恢复成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1，这样就将HLP文件关联恢复过来了。 好了，可以和聪明基因说“再见”了！ 七、黑洞2001 黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。 黑洞2001服务端被执行后，会在C:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件在机器开机时立刻运行，并打开默认端口2001，S_Server.exe文件用来和TXT文件打开方式连起来（即关联）！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！ 清除方法： 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy（网络精灵） Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。 清除方法： 1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe 回车！ 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\，删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2（默认连接端口27374），服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。 清除方法： 1、打开注册表Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器="C:\windows\system\***"。注：加载器和文件名是随意改变的。 2、打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。 3、打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。 4、重新启动Windows，删除相对应的木马程序，一般在C:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。

电脑染上木马病毒有什么现象

电脑中毒一般并不会有明显的状态的，如果有一般就是下面的12种状态：

1.经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

2.系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

3.文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

4.经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

5.提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

6.软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

7.出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

8.启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

9.数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

10.键盘或鼠标无端地锁死：病毒作怪，特别要留意“木马”；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

11.系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

12.系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

实用电脑小常识

现代社会中，电脑已经成为人们生活和工作不可缺少的工具，但电脑也越来越成为一把“双刃剑”：它在给人们生活和工作带来方便、快捷的同时，也在悄悄地危及人们的健康，引起人的视力衰退、关节损伤、辐射伤害、头部和肩膀疼痛。据调查，常用电脑的人中感到眼睛疲劳的占83％，肩酸腰痛的占63.9％，头痛和食欲不振的则占56.1％和54.4％，还会出现自律神经失调、忧郁症、动脉硬化性精神病等。

专家指出，“电脑病”的产生主要是和人们在电脑面前的坐姿、使用方法，以及使用时间长短有关。因此，对长期使用电脑的人来说，做好防护工作非常重要。

一、坐姿正确。在操作电脑时尽可能保持自然的端坐位，将后背坐直，并保持颈部的挺直。两肩自然下垂，上臂贴近身体，手肘弯曲成90度，操作键盘或滑鼠，尽量使手腕保持水平。

二、电脑的摆放高度要合适。将电脑屏幕中心位置安装在与操作者胸部同一水平线上，最好使用可以调节高低的椅子。应有足够的空间伸放双脚，膝盖自然弯曲成90度，并维持双脚着地，不要交叉双脚，以免影响血液循环。

三、与屏幕保持恰当的距离。眼睛与电脑屏幕的距离应在40—50厘米，使双眼平视或轻度向下注视荧光屏，这样可使颈部肌肉轻松，并使眼球暴露于空气中的面积减小到最低。

四、劳逸结合。避免长时间连续操作电脑，使用电脑的时间最好是30分钟就休息一下，可到室外散步，或抬头望天，或向远处眺望，或进行10至20次伸颈和扩胸练习。

五、保持皮肤清洁。电脑荧光屏表面存在着大量静电，其积聚的灰尘可转射到脸部和手的皮肤裸露处，时间久了，易发生斑疹、色素沉着，严重者甚至会引起皮肤病变等。为减少辐射，应使办公室保持通风干爽，这样能使那些有害物质尽快排出，在电脑桌下放一盆水或是放一盆花草也可减少辐射，勤洗脸也能防止辐射波对皮肤的刺激。

六、合理膳食。平时多吃些胡萝卜、白菜、豆芽、豆腐、红枣、橘子以及牛奶、鸡蛋、动物肝脏、瘦肉等食物，少食肥甘厚味及辛辣刺激性食品，以补充人体内维生素A和蛋白质。平时可多饮些茶，茶叶中含有茶多酚等活性物质，有利于吸收与抵抗放射性物质。

最后别忘了，使用电脑后，一定要洗手。键盘上面附着着很多细菌和病毒，也会给人带来伤害。

MP3搜索发现病毒连接

最近发现了利用MP3搜索引擎木马传播的病毒。通过百度、一搜下载MP3以后，电脑都出现了中病毒的症状。一名网友说，她在百度的MP3搜索引擎上将一首MP3格式的歌曲文件下载到电脑后，运行该MP3文件时，电脑浏览器首页被改成了一个从未见过的网址，而鼠标右键也不能用了。

据反病毒专家分析后发现，这些网友通过连接所下载的并不是MP3文件，而是一个病毒文件。瑞星反病毒专家刘刚介绍说，这是一个名叫“首页变种AHK（Trojan.StartPage.ahk）”的木马病毒，感染这个病毒后浏览器会被强行修改，电脑运行变慢甚至崩溃，鼠标右键也出现异常，目前在百度和一搜的MP3搜索引擎中都发现了这个病毒。而通过MP3搜索引擎来传播病毒，这在国内还是首次发现。

由于通过MP3文件传播病毒形式更加隐蔽，专家提供了四条建议：一、计算机一定要安装杀毒软件并注意及时升级；二、上网时应打开杀毒软件的实时监控功能；三、利用杀毒软件的“漏洞扫描”弥补系统漏洞；四、从网上下载电影、音乐文件后应对其进行病毒扫描。

解决系统资源不足问题

第一种思路：

1.清除“剪贴板”

当“剪贴板”中存放的是一幅图画或大段文本时，会占用较多内存。请清除“剪贴板”中的内容，释放它占用的系统资源：单击“开始”，指向“程序”，指向“附件”，指向“系统工具”，单击“剪贴板查看程序”，然后在“编辑”菜单上，单击“删除”命令。

2.重新启动计算机

只退出程序，并不重新启动计算机，程序可能无法将占用的资源归还给系统。请重新启动计算机以释放系统资源。

3.减少自动运行的程序

如果在启动Windows时自动运行的程序太多，那么，即使重新启动计算机，也将没有足够的系统资源用于运行其他程序。设置Windows不启动过多程序：其一，单击“开始→运行”，键入“msconfig”，单击“确定”按钮，单击“启动”选卡，清除不需要自启动的程序前的复选框。其二，单击“开始→运行”，键入“sysedit”，单击“确定”按钮，删除“autoexec.bat”、“win.ini”和“config.sys”文件中不必要的自启动的程序行。然后，重新启动计算机。

4.设置虚拟内存

虚拟内存不足也会造成系统运行错误.可以在“系统属性”对话框中手动配置虚拟内存，把虚拟内存的默认位置转到可用空间大的其他磁盘分区。

5.应用程序存在Bug或毁坏

有些应用程序设计上存在Bug或者已被毁坏，运行时就可能与Windows发生冲突或争夺资源，造成系统资源不足。解决方法有二：一是升级问题软件，二是将此软件卸载，改装其他同类软件。

6.内存优化软件

不少的内存优化软件，如RAM Idle和Memo Kit都能够自动清空“剪贴板”、释放被关闭程序未释放的系统资源、对虚拟内存文件(Win386.swp)进行重新组织等，免除手工操作的麻烦，达到自动释放系统资源的目的。

第二种思路：

1.禁用一部分启动项

启动时加载过多的应用程序会使Windows因系统资源严重不足而“蓝屏”，因此我们最好运行“Msconfig”禁用一部分应用程序。或者使用Windows优化大师来代劳。

2.设置足够的虚拟内存

虚拟内存不足也会造成系统多任务运算错误，我们可以通过时常删除一些临时文件和交换文件对此问题加以解决，此外还可以在“系统属性”下手动配置虚拟内存，把虚拟内存的默认位置转到其他逻辑盘下。并设置得大一些。

3.给硬盘保留足够空间

由于Win9X运行时需要用硬盘作虚拟内存，这就要求硬盘必须保留一定的自由空间以保证程序的正常运行。一般而言，最低应保证100MB以上的空间，否则出现“蓝屏”很可能与硬盘剩余空间太小有关。另外，硬盘的碎片太多，也容易导致“蓝屏”的出现。因此，每隔一段时间进行一次碎片整理是必要的。

4.使用内存管理软件

剩下的就是些杂项了，诸如不用activedesktop之类浪费资源的功能。使用内存管理软件，如RAM Idle之类的。养成好习惯，暂时不用的程序就将其关闭。

什么是木马病毒的区别

你好： 很高兴为您解答！随着互联网的日益流行，各种病毒木马也猖厥起来，几乎每天都有新的病毒产生，大肆传播破坏，给广大互联网用户造成了极大的危害，几乎到了令人谈毒色变的地步。各种病毒，蠕虫，木马纷至沓来，令人防不胜防，苦恼无比。那么，究竟什么是病毒，蠕虫，木马，它们之间又有什么区别?相信大多数人对这个问题并没有一个清晰的了解，在这里，我们就来简单讲讲。 病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。它们可能使你的网络和操作系统变慢，危害严重时甚至会完全破坏您的系统，并且，它们还可能使用您的计算机将它们自己传播给您的朋友、家人、同事以及 Web 的其他地方，在更大范围内造成危害。这三种东西都是人为编制出的恶意代码，都会对用户照成危害，人们往往将它们统称作病毒，但其实这种称法并不准确，它们之间虽然有着共性，但也有着很大的差别。什么是病毒?计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒必须满足两个条件:1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。2、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。此外，病毒往往还具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性等，由于计算机所具有的这些特点与生物学上的病毒有相似之处，因些人们才将这种恶意程序代码称之为“计算机病毒”。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果，会引起操作异常，甚至导致系统崩溃。另外，许多病毒包含大量错误，这些错误可能导致系统崩溃和数据丢失。令人欣慰的是，在没有人员操作的情况下，一般的病毒不会自我传播，必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五病毒等。什么是蠕虫?蠕虫(worm)也可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制， 普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能，一旦您的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机，更危险的是，它还可大量复制。因而在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径，蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。此外，蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。而且它的传播不必通过“宿主”程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机，这也使它的危害远较普通病毒为大。典型的蠕虫病毒有尼姆达、震荡波等。什么是木马?木马(Trojan Horse)，是从希腊神话里面的“特洛伊木马”得名的,希腊人在一只假装人祭礼的巨大木马中藏匿了许多希腊士兵并引诱特洛伊人将它运进城内，等到夜里马腹内士兵与城外士兵里应外合，一举攻破了特洛伊城。而现在所谓的特洛伊木马正是指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后，控制端将窃取到服务端的很多操作权限，如修改文件，修改注册表，控制鼠标，键盘，窃取信息等等。一旦中了木马，你的系统可能就会门户大开，毫无秘密可言。特洛伊木马与病毒的重大区别是特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不"刻意"地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行。特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码，要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。现在的木马一般主要以窃取用户相关信息为主要目的，相对病毒而言，我们可以简单地说，病毒破坏你的信息，而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。从上面这些内容中我们可以知道，实际上，普通病毒和部分种类的蠕虫还有所有的木马是无法自我传播的。感染病毒和木马的常见方式，一是运行了被感染有病毒木马的程序，一是浏览网页、邮件时被利用浏览器漏洞，病毒木马自动下载运行了，这基本上是目前最常见的两种感染方式了。 因而要预防病毒木马，我们首先要提高警惕，不要轻易打开来历不明的可疑的文件、网站、邮件等，并且要及时为系统打上补丁，最后安装上防火墙还有一个可靠的杀毒软件并及时升级病毒库。如果做好了以上几点，基本上可以杜绝绝大多数的病毒木马。最后，值得注意的是，不能过多依赖杀毒软件，因为病毒总是出现在杀毒软件升级之前的，靠杀毒软件来防范病毒，本身就处于被动的地位，我们要想有一个安全的网络安全环境，根本上还是要首先提高自己的网络安全意识，对病毒做到预防为主，查杀为辅如果我的回答对您有帮助 望采纳！！！