如何才能知道电脑有没有中“木马病毒”？

木马程序会隐藏自己.

主要途径有：

a,在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。

b,在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端

c,“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都

是“木马”藏身的好地方。下面具体谈谈 “木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现

后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如 “AOL Trojan木马”，它把自身伪装成

command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，那么

后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查

看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery

v1.0木马”，它将注册表“HKEY－LOCAL－ MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”

，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－

USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY－ USERS＊＊＊＊SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就

是在 “HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进

行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=” 和 “load=”；编辑system.ini文件，将[BOOT]下面的

“shell=‘木马’文件”，更改为：“shell= explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－

MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木

马”程序并不是直接将“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马” 如：BladeRunner“木

马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此 “木马”文件并删除掉。重新启动计算机，然

后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了

如何查看自己电脑是否有病毒，或者是木马攻击？

查看电脑是否入侵，是否留有后门：

1、查看任务管理器--进程，是否有可疑程序。查看详细信息是否有可疑程序。必要时详情中点击程序右击打开文件所在的位置看看，再右击程序属性看创建日期及修改日期，看是否最新更新过系统或驱动，没有就要注意了。

2、win+R --cmd--输入：netstat -ano 看是否有可疑IP在进行外网链接，状态中后面数字为pid 。

解释：

listening：端口在监听，等待连接但是未连接；

time wait状态：曾经有过连接但当前断开了，最后一次连接状态。

established状态：连接中。

fin_wait_2：第二次fin应答状态。

close_wait： 已关闭连接的状态。

fin_wait： 关闭连接发fin应答状态。

3、看时间查看器--windows日志--系统，安全--信息--下部的常规--看服务文件名是否有可疑程序。

4、明知道是木马，杀毒不了，建议备份数据后重装电脑，加强防火墙及端口权限。不要浏览没有icp备案、不良信息的网站，

5、平时使用电脑比较快，看文件视频浏览网页不卡，但是遇到突然网页卡死或无网络、网络非常慢等要检查网线是否正常后查看是否被攻击。被攻击后建议备份数据重新装系统。

防止入侵:

1、加强防火墙管理。

2、加强端口进出入站规则。

3、加强远程权限管理。

4、加强共享文件管理。

5、不看不良网站。

其他命令:

1、通过端口找pid：netstat -aon|findstr "8008"；

2、通过pid找程序：tasklist|findstr "3306"；

3、查看ip，端口， pid信息：netstat -ano。

怎么才能知道自己的电脑有没有中木马病毒？

看一下有什么陌生的进程

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

(系统服务)

产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)

svchost.exe 包含很多系统服务

svchost.exe

SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)

explorer.exe 资源管理器

internat.exe 托盘区的拼音图标

附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减

少）

mstask.exe 允许程序在指定时间运行。(系统服务)

regsvc.exe 允许远程注册表操作。(系统服务)

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)

tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)

允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务

的一部分。(系统服务)

termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000

Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000

Professional 的能力。(系统服务)

支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及

Quote of the Day。(系统服务)

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服

务)

ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。

(系统服务)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)

RsSub.exe 控制用来远程储存数据的媒体。(系统服务)

locator.exe 管理 RPC 名称服务数据库。(系统服务)

lserver.exe 注册客户端许可证。(系统服务)

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统

服务)

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其

它事务保护资源管理器。(系统服务)

faxsvc.exe 帮助您发送和接收传真。(系统服务)

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服

务)

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)

smlogsvc.exe 配置性能日志和警报。(系统服务)

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制

安装功能。(系统服务)

RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)

RsFsa.exe 管理远程储存的文件的操作。(系统服务)

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存

储点，以节省磁盘空间。(系统服务)

SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统

服务)

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系

统服务)

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递

到运行在这台计算机上 SNMP 管理程序。(系统服务)

UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

总结：

发现可疑进程的秘诀就是要多看任务管理器中的进程列表

（江西新华电脑学院为你解答）

如何知道自己的电脑上有没有木马病毒？

1、点击“开始”——“运行”，输入"CMD"，并按确认，到命令行方式下。

2、在命令行提示符下，输入“NETSTAT

—ano”，这时你检查一下有没有什么可疑的连接，如果有，记下PID，然后回WINDOWS下去打开任务管理器，查看“进程”，如果进程那儿没有显示PID，就点击“查看”——“选择列”，选中PID就能根据你在DOS下查到的PID来看看究竟是什么进程一直连接着你的电脑。

3、如果该进程不是系统进程，应该上网查一下进程来源，看是否是危险进程．

如何才能知道自己的电脑上有没有中了木马？

木马程序会隐藏自己.

主要途径有：

a,在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。

b,在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端

c,“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都

是“木马”藏身的好地方。下面具体谈谈 “木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现

后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如 “AOL Trojan木马”，它把自身伪装成

command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，那么

后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查

看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery

v1.0木马”，它将注册表“HKEY－LOCAL－ MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”

，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－

USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY－ USERS＊＊＊＊SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就

是在 “HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进

行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=” 和 “load=”；编辑system.ini文件，将[BOOT]下面的

“shell=‘木马’文件”，更改为：“shell= explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－

MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木

马”程序并不是直接将“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马” 如：BladeRunner“木

马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此 “木马”文件并删除掉。重新启动计算机，然

后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了

怎样查出电脑中了木马病毒，

如果您怀疑电脑中毒，建议您安装瑞星杀毒软件V16+版本升级到最新病毒库后，重启计算机按F8键选择安全模式，进行病毒扫描查杀，下载地址：http://pc.rising.com.cn/

怎么样才能查杀到隐藏在电脑里的木马病毒？

建议下载 360杀毒+360安全卫士+360保险箱+360ARP防火墙+360安全浏览器+优化大师+超级兔子魔法设置+驱动人生. 我介绍下我建议的安全配置,安装好就可以免除病毒之苦!(以下软件,全部终身无条件免费)360杀毒:1,360杀毒承诺一切下载、升级完全免费. 2,您可能已经购买或安装了其他杀毒软件，但是还想能对病毒多一道防护，而大部分杀毒软件之间是不能共存的，不能共存的主要原因是实时防护功能的冲突，同时实时防护功能也会消耗较多系统资源。360杀毒绿色版为了能让更多用户能流畅体验我们的产品，在保持强大的查杀能力的同时，特别去掉了实时防护功能。360杀毒能与其他杀毒软件和谐共存，无冲突运行，为您的电脑安全提供另外一个优秀选择。3,360杀毒绿色版采用了更智能的系统资源申请技术，占用的系统资源可自适应调整，让您的系统运行更流畅。4,360杀毒由360安全中心及BitDefender联合出品。BitDefender在全球市场屡获好评，拥有全球领先的病毒查杀技术及最大的病毒特征库，加上360安全中心的快速响应，能实现病毒特征库的小时级更新。官方网下载地址 http://sd.360.cn/ 360安全卫士:1.全新的体检模式，安全隐患一网打尽2.优化补丁下载速度，修复漏洞更快捷3.全新软件管理，软件下载更安全更便捷4.内附360保险箱，远离帐号问题的困扰5.全新360求助中心，问题解决更快、更方便6.360文件知识库智能查询.官方下载地址 http://dl.360safe.com/setupbeta.exe 360保险箱:360保险箱是360安全中心推出的帐号密码安全保护软件，完全免费，采用的主动防御技术，可以阻止盗号木马对网游、聊天等程序的侵入，主要帮助用户保护网游帐号、聊天帐号、网银帐号、炒股帐号等，防止由于帐号丢失导致的虚拟资产和真实资产受到损失。与360安全卫士配合使用，保护效果加倍！(不需下载,360安全卫士自带) 360ARP防火墙:1,内核层双向拦截本机和外部ARP攻击，及时查杀ARP木马。2、精准追踪攻击源IP，方便网管及时查询攻击源。3、拦截DNS欺骗、网关欺骗、IP冲突等多种攻击。(不需下载,360安全卫士自带) 360安全浏览器:智能拦截恶意网站和钓鱼网站,下载文件即时扫描,百毒不侵的[超强安全模式],体积轻巧功能丰富，媲美同类多窗口浏览器。官方下载网址 http://se.360.cn/ 优化大师：Windows优化大师是一款功能强大的系统辅助软件，它提供了全面有效且简便安全的系统检测、系统优化、系统清理、系统维护四大功能模块及数个附加的工具软件。使用Windows优化大师，能够有效地帮助用户了解自己的计算机软硬件信息；简化操作系统设置步骤；提升计算机运行效率；清理系统运行时产生的垃圾；修复系统故障及安全漏洞；维护系统的正常运转。官方下载网址 http://www.wopti.net/chs/ 超级兔子魔法设置：超级兔子是一个完整的系统维护工具，可能清理你大多数的文件、注册表里面的垃圾，同时还有强力的软件卸载功能，专业的卸载可以清理一个软件在电脑内的所有记录。共有9大组件，可以优化、设置系统大多数的选项，打造一个属于自己的Windows。超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能，还能防止其它人浏览网站，阻挡色情网站，以及端口的过滤。超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度，由此检测电脑的稳定性及速度，还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式，同时超级兔子网站提供大多数进程的详细信息，是国内最大的进程库。超级兔子安全助手可能隐藏磁盘、加密文件，超级兔子系统备份是国内唯一能完整保存Windows XP/2003/Vista注册表的软件，彻底解决系统上的问题。官方下载网址 http://www.pctutu.com/soft/index.htm 驱动人生：驱动人生是一款免费的驱动管理软件，实现智能检测硬件并自动查找安装驱动，为用户提供最新驱动更新，本机驱动备份、还原和卸载等功能。软件界面清晰，操作简单，设置人性化等优点，大大方便广大机友管理自己的电脑的驱动程序。驱动人生支持所有品牌(如Intel、nVidia/3DFX、AMD/ATI、VIA/S3、Realtek、C-Media、Marvell、ADI、IBM、Creative、Broadcom、Conexant、 SigmaTel、Matrox等）的主板、显卡、声卡、网卡、调制解调器、摄像头、无线、打印机、扫描仪、读卡器、阵列卡、蓝牙、手写板、读写器、USB、1394、Bluetooth、Display、Image、MEDIA、Modem、Net、PCMCIA、SCSIAdapter、 SmartCardReader、System、MODEM、串口、并口等设备的识别与驱动。官方下载网址 http://www.drivethelife.com/Default.aspx 如果不行就加我Q:412141392反对盗版,严禁盗版,盗版枪毙! 骷髏_丶/kl 亲笔

怎样追踪病毒木马

打开cmd 输入netstat -an 查询当前打开的端口，如果有可疑端口连接到可疑的IP，那么，那个IP就是黑客的IP，如果没有，下载一个本地磁盘监控工具，可以监控到本地磁盘内的所有活动，如果病毒正在运行，就可以查询到病毒的踪迹，如果没有发现那么病毒可能处于潜伏期，这种时候只能使用杀毒软件寻找病毒，然后在通过C32等反汇编工具寻找可疑的IP，网址，邮箱，等信息，这些都可以找到病毒的来源，和黑客的踪迹

望采纳