我想知道什么是木马 木马都是病毒么 具体一些 谢谢

木马实际上是一种远程控制软件，国外叫特洛依，名字的来源是由于古代攻城的时候，由埋伏在城里的“特洛依”，国外的叫法，应该是伪装的起来的兵士，接应城外的军队攻克城堡。所以“木马”一词应该含有“隐蔽”和“接应”的意思。

国外比较有名的木马是前几年流行的“冰河”，这是一个比较优秀的国产木马。现在木马有很多种，象“广外幽灵”，“蓝色火焰”，“网络神偷”等，最近又新出一个比较优秀的国产木马程序－“灰鸽子”。

木马的神奇之处在于其隐蔽性和强大的网络通讯功能。在现在，很多木马已经变成了病毒的一种，成为各种杀毒软件追杀的对象。不过这只限于那些知道的木马，又很多未知或新出的木马程序一时还查杀不了。

木马是一种运行在计算机中的程序，一个木马程序通常由两部分组成：客户端和服务端。服务端是运行在被控制计算机上的程序，通常做得很小而且很隐蔽，以病毒的形式存在，开机的时候可以自动随计算机启动，没有专门的查杀软件或者不经过细致的分析很难查杀。而客户端则是安装在控制方使用机器上的一个程序，通常都做成图形界面，这样，在安装了客户端的机器上就可以操纵安装了服务端的机器（或者称中了木马病毒的机器），象查看对方的屏幕，窃取对方的密码，让对方死机等等，总之，凡是程序可以达到的功能，木马都可以做到，这就是所谓的远程控制，即用一台机器控制另外一台机器，只要这两台机器可以互相访问。

木马的传输协议一般采用TCP/IP通讯协议，象常用的QQ通讯软件，也是采用该协议，还有采用UDP协议的。

木马一般都是很隐蔽的，现在的木马功能越来越强，而且不容易发现，中了木马的机器是很危险的，因为你很有可能已经被另外一个人操纵了你的机器，这样你的密码等机密就可能泄漏。

对付木马比较有效的办法是安装防火墙，但防火墙也不安全，因为有些木马已经有针对性地破坏防火墙的某些功能，可以穿过防火墙和外界发生连接。

很多电脑初学者被人装了木马程序也不知道，所以，安全问题是最重要的，除了用杀毒软件查杀外，还要平时留心一点，这样能更有效的保护你的信息不致泄漏。

它可以远程控制，可以匿名控制远程计算机，窃取数据

例如"神速木马"( Trojan.Mumu )它可以盗取“奇迹”和“传奇”账号的密码的木马病毒。

该病毒运行后将从体内放出PSIpcScan对所在网段的系统进行ipc密码破解（带有一个简单密码字典）

当发现有破解出的密码后，病毒将自己复制到对方的系统利用psexec并启动。病毒还将盗取到的账

号密码发送到.com上指定的信箱。

手动清除方法：

先用任务管理器杀死last.exe进程和mumu.exe进程。

注册表清除：

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Folder Service

键值为：qjinfo.exe

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kernel

键值为：%winDir%bboy.exe

文件清除：

%windir%bboy.exe

%systemdir%last.exe

%systemdir%bboy.dll hook函数（盗密码）

%systemdir%mumu.exe

%systemdir%qjinfo.ini 记录下的游戏账号密码

瑞星建议

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报， 这样才能真正保障计算机的安全

还有"QQ木马"( Trojan.Pwd.Oicq.c )这是一个盗窃oicq密码的木马。病毒将自己拷贝到系统目录，命名为SCANREGW.EXE，并登记为自启动，随windows启动而运行。挂结钩子，不停的取得窗口标题，如果和oicq相关，记录oicq密码。还会提示用户：http://18x.net.tf去看看我的照片。

也有比较常见的特洛伊木马 (Zelu特洛伊木马)Zelu特洛伊木马是以一个名为Y2K.EXE的可执行文件进入计算机系统。病毒发作后，它会遍历所有驱动器记录的文

件，并用以下信息覆盖所有文件：

" This file is sick! It was contaminated by the radiation liberated...

by the explosion of the atomic bomb... "。

随着受破坏的文件被覆盖，这些文件的内容将不能再恢复且永远丢失。

现象：

当此特洛伊木马执行后，它将显示如下字符："ChipTec Y2K - Freeware Version"，同时屏幕中心显示如下状态信息：

- Timer

- Device Drivers

- File System

- BIOS

屏幕底部显示以下内容：

Y2K Copyright (C) 1999 - 2002 ChipTec

All Rights Reserved

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

答案 就是一个隐藏在你电脑里监视你电脑的软件,也可以说是病毒

木马就是一种程序。黑客利用此程序达到控制你电脑的目的。盗各种帐号。恶意破坏之类

360杀毒清除木马病毒记录在哪

朋友你打打开360杀毒界面——右下方点击历史记录——之后就可以看到你的查杀历史了。

记录键盘的木马病毒

愿我的答案 能够解决您的烦忧

不安全，360是辅助杀毒工具，不能彻底查杀病毒的，遇到这种情况就一定按我说的办法来杀毒

1，请您先不要着急，只要病毒就有克制的方法。

2，建议您现在立刻下载腾讯电脑管家“8.3”最新版，对电脑首先进行一个体检，打开所有防火墙避免系统其余文件被感染。

3，打开杀毒页面开始查杀，切记要打开小红伞引擎。

4，如果普通查杀不能解决问题，您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度

扫描。

5，查杀处理完所有病毒后，立刻重启电脑，再进行一次安全体检，清除多余系统缓存文件，避免二次感染。

如果您对我的答案不满意，可以继续追问或者提出宝贵意见，谢谢

木马病毒是怎么记录密码的

您好，在编程中，记录您调用的文件和键盘的每一步操作并不难。木马是一种以偷偷记录您调用文件和按键顺序的程序，因此可以盗取您的密码。

换句话说，您的每一步操作，都被其他人知道了，密码就会被盗。

当然，安装一款杀毒软件可以有效防范病毒，建议试试腾讯电脑管家，点此安装：腾讯电脑管家官网

腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

历史上最厉害的木马病毒有哪些

一、网络公牛。 网络公牛又名Netbull，是国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽，危害很大。同时，服务端运行后会自动捆绑以下文件: win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe。 winnt/2000下：（在2000下会出现文件改动报警，但也不能阻止以下文件的捆绑）notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe；winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件（如：realplay.exe、QQ、ICQ等）。在注册表中网络公牛也悄悄地扎下了根，如下： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。 清除方法： 1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。 3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－附件－系统工具－系统信息－工具－系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如：realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。 二、网络神偷（Nethief） 网络神偷又名Nethief，是第一个反弹端口型木马！ 什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址：1026 客户端的IP地址：80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户向外连接80端口吧， 嘿嘿。最新线报：目前国内木马高手正在大规模试验（使用）该木马，网络神偷已经开始流行！中木马者也日益增多，大家要小心哦！ 清除方法： 1、网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK，神偷完蛋了！ 三、WAY2.4（火凤凰、无赖小子） WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！ 清除方法： 要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！ 注意：在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载，sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 清除方法： 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！ 该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。 清除方法： 1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它。 2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”。 3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？ 哈哈，木马就是如此，骗你没商量！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是HTM文件呢！ Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守护进程MBBManager.exe！想清除我？没那么容易！ 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！ 清除方法： 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager.exe这个进程，然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe，editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WINDOWS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！ 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1，因此要恢复成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1，这样就将HLP文件关联恢复过来了。 好了，可以和聪明基因说“再见”了！ 七、黑洞2001 黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。 黑洞2001服务端被执行后，会在C:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件在机器开机时立刻运行，并打开默认端口2001，S_Server.exe文件用来和TXT文件打开方式连起来（即关联）！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！ 清除方法： 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy（网络精灵） Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。 清除方法： 1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe 回车！ 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\，删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2（默认连接端口27374），服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。 清除方法： 1、打开注册表Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器="C:\windows\system\***"。注：加载器和文件名是随意改变的。 2、打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。 3、打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。 4、重新启动Windows，删除相对应的木马程序，一般在C:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。