如何手动分析恶意软件或病毒（主要是木马）

用相关工具查看端口开放情况，如果发现有危险端口开放可以关联到开放该端口的进程，那么该进程就是病毒的进程了，将该进程直接删除就行了。

还有就是分析病毒这种东西不是一朝一夕就能做到的，建议楼主多看一些关于PC安全的书籍，实践。

什么是木马病毒?什么情况下会有木马病毒?怎样处理才是最好?

由于计算机病毒的传播方式多种多样，又通常具有一定的隐蔽性，因此，首先应提高全民对计算机病毒的防范意识，在计算机的使用过程中应注意下几点： （1）尽量不使用盗版或来历不明的软件。 （2）备份硬盘引区和主引导扇区数据，经常对重要的数据进行备份。 （3）养成经常用杀毒软件检查硬盘和每一张外来盘的良好习惯。 （4）杀毒软件应定期升级，一般间隔时间最好不超过一个月。 （5）安装了实时监控防病毒软件，当然这也不是一劳永逸的方法，防病毒软件不一定对所有的病毒都有效，而且病毒的更新速度也很快。 （6）随时注意计算机的各种异常现象，一旦发现，应立即用杀毒软件仔细检查。杀毒软件是预防病毒感染的有效工具，应尽量配备多套杀毒软件，因为每个杀毒软件都有各自的特点。 （7）有些病毒的传播途径主要是通过电子邮件，被称为“邮件病毒”。它们一般是通过邮件中“附件”夹带的方法进行扩散，你运行了该附件中的病毒程序，就使你的计算机染毒。所以，不要轻易打开陌生人来信中的附件文件。下面的都是完美破解版或免费版的，注意要及时升级杀毒软件的病毒库，最好在安全模式下杀毒，重启电脑时，按住F8就进入电脑的安全模式了瑞星杀毒软件2008版（内附序列号）是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。瑞星个人防火墙 2008 20.23.00附瑞星2008 20.23.40 增量包,简体中文标准版。瑞星升级保姆 2.30e For2007本软件只是躲过ID验证，直接启动瑞星的升级程序,所有病毒库数据都是直接读取瑞星官方的，跟官方一秒不差。。这个软件会被瑞星当病毒查杀，其中原因你自己想想是为什么了瑞星升级宝宝 For瑞星2008 101a可以免ID无限次升级杀毒和防火墙,简体中文绿色免费版QQ医生 V1.5.6.201.0是腾讯公司发布的针对QQ帐号密码被盗问题所提供的一款盗号木马查杀工具。卡巴斯基(Kaspersky) KAV 7.0.1.321 MP1.附带可用KEY,麦田守望者汉化特别版卡巴斯基KIS V8.0.0.99 Beta全中文安装、支持中英文切换,麦田守望者汉化版。木马克星2007 build 1230.反黑客杀木马工具，可以查杀8122种国际木马，1053种密码偷窃木马.病毒库更新至 20070111360安全卫士3.7.0.1005(1.0.1.1576).拥有查杀流行木马、清理恶评及系统插件，管理应用软件，系统实时保护，修复系统漏洞等.木马杀客2007 V18.18.34简体中文绿色免费版全新一代的木马杀客，能有效查杀最新流行的QQ木马、网络游戏木马、网页木马等。NOD32国外很权威的防病毒软件评测给了NOD32很高的分数。杀马(Defendio) V4.24.0.920.添加了对大量新威胁的查杀,可快速杀除木马软件,简体中文绿色免费版。USBkill U盘防火墙 V8.5.可强力清除病毒和设备安全移除,简体中文绿色免费版 恶意软件清理助手 V2.77 Build 015用于清理流氓软件，清理引擎已更新至2.65，带广告简体绿色版Auto.exe专杀增强版 V2.10采用自创的查杀分析引擎查杀,简体中文绿色免费版天网防火墙个人版 V3.0.0.1013已附带破解和最新规则数据包,破解版。下载地址： http://mirc.ys168.com/ ╃安全软件区╃-

病毒木马

services.exe - services - 进程介绍

进程文件： services or services.exe

进程名称： Windows Service Controller

进程类别：其他进程

英文描述：

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

中文参考：

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\ 目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：Yes

后台程序：Yes

网络相关：No

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

这个后门还不错，也有点BT吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。即为中毒后，任意一个EXE文件的属性，“应用程序”变成“EXE文件”

当然，清除的方法也很简单，不过需要注意步骤：

一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

Torjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

4.删除以下两个键值：

HKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的 “rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除病毒添加的文件关联信息和启动项：

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

改为

"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：

HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）

%programfiles%\common files\iexplore.pif

%programfiles%\Internat explorer\iexplore.com

%windir%\1.com

%windir%\exeroute.exe

%windir%\explorer.com

%windir%\finder.com

%windir%\mswinsck.ocx

%windir%\services.exe

%windir%\system32\command.pif

%windir%\system32\dxdiag.com

%windir%\system32\finder.com

%windir%\system32\msconfig.com

%windir%\system32\regedit.com

%windir%\system32\rundll32.com

删除以下文件夹：

%windir%\debug

%windir%\system32\NtmsData

一、病毒评估

1． 病毒中文名： SCO炸弹变种N

2． 病毒英文名： Worm.Novarg.N

3． 病毒别名： Worm.Mydoom.m

4． 病毒大小： 28832字节

5． 病毒类型： 蠕虫病毒

6． 病毒危险等级： ★★★★

7． 病毒传播途径： 邮件

8． 病毒依赖系统： Windows 9X/NT/2000/XP

二、病毒的破坏

1． 通过电子邮件传播的蠕虫病毒，感染之后，它会先在用户本地机器上搜索电子邮件地址，向其发送病毒邮件；

2． 利用在本机上搜索到的邮件地址的后缀当关键词，在Google、Yahoo等四个搜索引擎上搜索相关的email地址，发送病毒邮件传播自身。

3． 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

4． 感染了此病毒的机器，IE浏览器、OE软件和Outlook软件都不能正常使用。

5． 病毒大量向外发送病毒邮件，严重消耗网络资源，可能造成局域网堵塞。

三、技术分析

1． 蠕虫病毒，采用Upx压缩。运行后，将自己复制到%WINDOWS%目录下，文件名为：java.exe。释放一个后门病毒在同一目录中，文件名为：services.exe。

2． 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值：JavaVM和Service，实现病毒的开机自启动。

3． 强行关闭IE浏览器、OE软件和Outlook软件，使其不能正常使用。

4．在本地机器上搜索电子邮件地址：从注册表中读取当前系统当前使用的wab文件名，并在其中搜索email地址；搜索internet临时目录（Local Settings\Temporary Internet Files）中的文件，从中提取电子邮件地址；遍历盘符从C:盘到Z:的所有硬盘，并尝试从以下扩展名文件中提取email地址：.adb ，.asp ，.dbx ，.htm ，.php ，.pl ，.sht ，.tbb ，.txt ，.wab。

5． 当病毒搜索到email地址以后，病毒以“mailto +%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址％”为关键字，利用以下四种搜索引擎进行email地址邮件搜索：search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com，利用这种手段，病毒能够搜索到非常多的可用邮件 地址。

6． 病毒邮件的附件名称为：readme ，instruction ，transcript ，mail ，letter ，file ，text ，attachment等，病毒附件扩展名为：cmd ，bat ，com ，exe ，pif ，scr ，zip。

四、病毒解决方案：

1. 进行升级

瑞星公司将于当天进行紧急升级，升级后的软件版本号为16.37.10，该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（ http://www.rising.com.cn/ ）下载升级包进行升级，或者使用瑞星杀毒软件的智能升级功能。

2. 使用专杀工具

鉴于该病毒的特性，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到： http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。

3. 使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品是通过手机付费使用的，用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品，或者登陆 http://go.rising.com.cn/ 使用下载版产品。

4. 打电话求救

如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

5. 手动清除

（1）结束系统中进程名为：Services.exe和java.exe（在%windows%目录中）

（2）删除系统临时目录中的两个病毒数据文件：MLITGB.LOG和ZINCITE.LOG

（3）删除病毒键立的注册表键：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“JavaVM”=%WINDOWS%\java.exe

和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“Services”=%WINDOWS%\Services.exe

注： %WINDOWS% 是指系统的windows目录，在Windows 9X/ME/XP下默认为:

C:\WINDOWS，Win2K下默认为:C:\WINNT

注： %WINDIR%指的是Windows系统的安装目录，在Windows 95/98/ME/XP操作系统下默认为：C:\WINDOWS目录，在WINDOWS2000操作系统下默认为：C:\WINNT目录。

五、安全建议：

1. 建立良好的安全习惯。 例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。 默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3. 经常升级安全补丁。 据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等、遇到问题要上报， 这样才能真正保障计算机的安全。

8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重，许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。

电脑中木马病毒怎么办？

电脑中了木马病毒，从以下几点解决

方案一：使用一键还原系统。右键点击开始【所有程序】，点击一键还原精灵装机版，开始一键还原系统。

方案二：注册表杀毒。右击任务栏选择【任务管理器】，CPU运行达到百分百就是被感染，找到相对应的文件记录下来。点击运行输入regedit，点击确认进入注册表编辑模式，找到对应记录的软件名称并删除。

方案三：手动杀毒。点击IE属性栏，找到删除键，清理IE临时文件；点击开始关闭计算机，点击重启然后进入安全模式；找到HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*并检查不明启动项目并删除。

方案四：使用360或其他杀毒软件进行查杀病毒。

电脑中了木马病毒怎么解除？

你好! 如果你电脑中了 -木马，-病毒，-恶意软件等

请接受我的建议：

如果解决中还有问题MYQQ：244344727 谢谢。，！

请容纳我的解决方案：

1准备软件：

杀毒软件，检测软件。

[如果可以的话，尽量了解自己中什么病毒，下载该病毒专杀工具www.xunlei.com上面找(有的病毒屏蔽文字）]

[再不行，发给我信息，我直接把地址发给你]

2，如果在正常状态不能杀毒

请：开机按F8，进入安全模式。[有的连安全模式多进不去。][下面软件有可以修复]

在那个模式可以运行杀毒软件。

3，

用杀毒软件，[必须更新]

检测软件杀完一遍磁盘就可以了，

4，重新启动，

检测软件：

,360卫士http://www.360safe.com/

专杀工具：http://www.360.cn/killer/erkiller.html

金山清理专家：http://www.skycn.com/soft/37174.html

超级兔子：http://www.skycn.com/soft/2993.html

,优化大师 http://www.skycn.com/soft/2988.html

机器狗/磁碟机/AV终结者专杀工具

http://www.duba.net/zhuansha/259.shtml

AUTO木马群专杀工具

http://www.duba.net/zhuansha/260.shtml

杀毒软件：卡巴，瑞星，金山...,

自己动手检查：

木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。

RFC1244(Request for Comments:1244)中是这样描述木马的：“木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展，木马的攻击、危害性越来越大。木马实质上是一个程序，必须运行后才能工作，所以会在进程表、注册表中留下蛛丝马迹，我们可以通过“查、堵、杀”将它“缉拿归案”。

查

1.检查系统进程

大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。

2.检查注册表、ini文件和服务

木马为了能够在开机后自动运行，往往在注册表如下选项中添加注册表项：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载，如果在这些选项后面加载程序是你不认识的，就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名，只需稍稍改“Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细观察是很难被发现。

在Windwos NT/2000中，木马会将自己作为服务添加到系统中，甚至随机替换系统没有启动的服务程序来实现自动加载，检测时要对操作系统的常规服务有所了解。

3.检查开放端口

远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入Netstat na，可以清楚地看到系统打开的端口和连接。也可从www.foundstone.com下载Fport软件，运行该软件后，可以知道打开端口的进程名，进程号和程序的路径，这样为查找“木马”提供了方便之门。

4.监视网络通讯

对于一些利用ICMP数据通讯的木马，被控端没有打开任何监听端口，无需反向连接，不会建立连接，采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程，然后打开Sniffer软件进行监听，如此时仍有大量的数据，则基本可以确定后台正运行着木马。

堵

1.堵住控制通路

如果你的网络连接处于禁用状态后或取消拨号连接，反复启动、打开窗口等不正常现象消失，那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线，就可以完全避免远端计算机通过网络对你的控制。当然，亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。

2.杀掉可疑进程

如通过Pslist查看可疑进程，用Pskill杀掉可疑进程后，如果计算机正常，说明这个可疑进程通过网络被远端控制，从而使计算机不正常。

杀

1.手工删除

对于一些可疑文件，不能立即删除，有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表，接着用Ultraedit32编辑器查看文件首部信息，通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析，查看文件的导入函数列表和数据段部分，初步了解程序的主要功能。最后，删除木马文件及注册表中的键值。

2.软件杀毒

由于木马编写技术的不断进步，很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒，对于杀毒软件，一定要及时更新，并通过病毒公告及时了解新木马的预防和查杀绝技，或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。

最后清理系统：

清理系统垃圾2招:

1：

给你个批处理吧

del /f /s /q %systemdrive%\*.tmp

del /f /s /q %systemdrive%\*._mp

del /f /s /q %systemdrive%\*.log

del /f /s /q %systemdrive%\*.gid

del /f /s /q %systemdrive%\*.chk

del /f /s /q %systemdrive%\*.old

del /f /s /q %systemdrive%\recycled\*.*

del /f /s /q %windir%\*.bak

del /f /s /q %windir%\prefetch\*.*

rd /s /q %windir%\temp md %windir%\temp

del /f /q %userprofile%\cookies\*.*

del /f /q %userprofile%\recent\*.*

del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"

del /f /s /q "%userprofile%\Local Settings\Temp\*.*"

del /f /s /q "%userprofile%\recent\*.*"

随便建个记事本，然后把上面这段话复制到记事本里，再另存为*.bat（*为任意名），然后直接运行就可以了

2：

新建一个记事本并输入以下的内容：

@echo off

echo 正在清除系统垃圾文件，请稍等...

del /f /s /q %systemdrive%\*.tmp

del /f /s /q %systemdrive%\*._mp

del /f /s /q %systemdrive%\*.log

del /f /s /q %systemdrive%\*.gid

del /f /s /q %systemdrive%\*.chk

del /f /s /q %systemdrive%\*.old

del /f /s /q %systemdrive%\recycled\*.*

del /f /s /q %windir%\*.bak

del /f /s /q %windir%\prefetch\*.*

rd /s /q %windir%\temp md %windir%\temp

del /f /q %userprofile%\小甜饼s\*.*

del /f /q %userprofile%\recent\*.*

del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"

del /f /s /q "%userprofile%\Local Settings\Temp\*.*"

del /f /s /q "%userprofile%\recent\*.*"

echo 清除系统LJ完成！

echo. pause

打开还是记事本的看清楚这里最后将它保存，然后更名为“清除系统LJ.bat”

以上回答如果还有疑问，请发给我信息，顺便把本页的网址也发给我，以便我好回答，谢谢