教你如何手动查杀电脑中的木马

教你如何手动查杀电脑中的木马

首先要知道木马的种类，木马是属于病毒的一种，他起的作用其实就是类似于间谍的功能。木马从诞生到现在已经有很多的种类，而且到现在的木马往往不会是单一的功能。

但想去查杀一个木马首先必须知道木马的种类。

1、破坏删除型

这类的木马的功能就是删除计算机里的文件：如 DLL、EXE、INI类型的文件。它就像一个定时炸弹，只要黑客一激活，那么他就开始肆意的破坏，而且一点不比病毒

差。

2、远程控制型

这类木马就是在你计算机内注入一个客户端程序，可以让服务端的人完全控制他人机器，监视屏幕动作，查看计算机磁盘内任何文件，可以进行任何操作，包括关机、重起。这类木马是数量最多，危害最大的。冰河、广外女生、灰鸽子都是国内知名的远

程控制木马

3、密码发送型

前段时间在我们论坛官员飞火身上发生的盗号事件，我看来就是这类木马在捣鬼。这类木马只要一开始运行，就开始自动搜索内存、Cache文件以及各类文件，一旦搜索到有用的密码，就自动将密码发送到预先指定好的QQ邮箱中去。

4、键盘记录型

在传奇这一大网络游戏盛行的前两年，也是键盘记录木马盛行的几年。不过这类木马是非常简单的，顾名思义他们只进行记录受害者的键盘敲击并且在LOG文件里查找密码。只要你在键盘上输入什么一木马都能记录下来，像QQ阿拉大盗、传奇木马都

是属于这一类型的。

5、DOS攻击型

DOS木马不是用来破坏被注入的机子，而是借用这台被注入的机子去攻击另外的机子有点类似于传销，不停的给自己发展“下线”。给网络造成堵塞。

6、代理型

木马为了隐藏自己，就给被注入的机子种上代理木马，让他成为攻击的跳板去间

接的攻击别人。

7、FTP型

这类的木马和网页木马一样，打开着21端口，等待着别人来连接。只要一连接上

FTP服务器或者一打开网页，木马就自动注入机子运行。这就是所谓的守株待兔。

8、程序杀手型

前几种木马再如何隐蔽也会被杀毒软件给查杀，而这种吗就是关闭机子上运行的杀毒软件、防火墙，类似于工兵、探路先锋的角色。

9、反弹端口型

现在很多人都知道怎么关闭没有用的端口来杜绝木马和病毒。而这类木马就是利用用户开放的端口来进行传播，一般他是从80端口开始（HTTP端口）任何人都不会关闭这个端口的，然后开始寻找其他端口一旦找到端口存在就是自动打开端口。

现在木马的变种越来越高级、许多杀毒软件根本不能杀掉甚至根本无法查找出来，下面说说最基本的手动查杀木马方法，首先要学会找出木马。再差的木马也不可能在任务栏图标里显示出来，会想尽方法隐藏自己。机子启动的时候、木马也会跟着启动，他

会想尽办法自动加载，这是最基本的。

潜伏在启动组、Win.ini、System.ini、注册表等是木马比较惬意的地方，win.ini文件中，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\GAME.exe load=c:\window s\GAME.exe那么GAME.exe 这个文件就是木马了。而system.ini文件中，在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你

已经中“木马”了。

还有启动组，你可以看到随机运行的程序是那些，如果有不知名的程序，那么就要小心是不是木马了。以上这三种方法打开的方式都是同时[开始]→[运行] 输入 msconfig。

如果在注册表里那就比较复杂了，首先打开注册表[开始]→[运行] 输入 regedit。点击打开HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run （随机启动目录）查看右边窗口的键值中有没有自己不熟悉的自动启动文件，扩展名为.exe 类型的。这里要特边注意一些木马可以的去模仿系统文件，比如expiorer.exe（正确的是expLorer.exe）、command.exe（正确的是），而且这些木马会在注册表里布满自己的脚印，最好的方法就是在HKEY-LOCAL-MACHINE/Software/Microsoft /Windows/CurrentVersion/Run 找到木马的文件名后，再整个注册表里自动查找各个键

值。

还有使用winhex一类的文件去读取计算机内存，查看有没有木马在后台运行。如果你精通这个软件的话，还有更好的效果。因为类似于键盘记录木马和密码发送木马在注入之前都要把控制者的邮箱和密码设置好，用winhex软件可以直接读取木马中的内存信息，直接获得对方的邮箱和密码。至于干什么用、我不说，大家也明白。

找到了木马下一步就是删除。

第一步很简单就是断开网络。关闭共享文件和目录。

接着打开win.ini文件，将[windows]字段中有启动命令，“run=“木马程序”或“load=“木马程序”更改为“run=”和“load=”。打开system.ini文件，将[BOOT]字段下面的“shell=木马文件”，更改为：“shell=explorer.exe”；再打开注册表在HKEY-LOCAL-MACHINE/So ftware/Microsoft/Windows/CurrentVersion/Run删除木马文件的键值，然后用木马的文件名搜索整个注册表，一一删除。删除完后千万不能忘记退回到MS-DOS系统下找到木马删除。98自带MS-DOS系统，至于2000和XP 就用98启动盘进入了MS-DOS系统，删除。为保安全最好再重起进入安全模式、查杀一次。进入安全系统的方法就是重起电脑按F8键，选择安全模式进入。把带有病毒的文件删除，有些木马驻留在IE文件内，打开IE，选择选择IE工具栏中的“工具”/“Internet选项”，选择“删除文件”删除，如果有脱机内容，也一起删除。有些会驻留在系统还原文件中也就是C盘的System Volume I nformation目录下。先取消系统还原功能，然后将带毒文件删除。2000和XP关闭系统还原的方法：右键单击“我的电脑”，选“属性”——“系统还原”——在“在所有驱动器上关

闭系统还原”前面打勾——按“确定”退出。

当然最简单的删除木马的方法就是重装系统。杀完木马后就要给自己的机子装上防护，一般来说我建议机子上最好有三种软件，一、杀毒软件：如诺顿、卡巴、江民等，二、防火墙：诺顿、天网、瑞星个人防火墙等、三、木马查杀软件：木马克星、绿鹰P C精灵、Ewido Security Suite等。对于杀毒软件建议用诺顿或者卡巴、诺顿占内存太大、机子配置不好的别用。而最好不要两种杀度软件一起用、有些杀度软件互相不兼容、我曾经一起用过卡巴和金山毒霸就是不兼容，结果开机就需要两小时。防火墙推荐天网，国产的，占内存小操作起来又简单。木马查杀工具推荐木马克星或者Ewido Security Su ite。把三种搭配一起用是最好的，但也要注意不要起冲突，金山毒霸和天网不兼容起冲突，其他的我就不知道了，大家自己慢慢试试。还有要注意关闭自己不用的TCP/IP端口，虽然现在有了反弹端口木马，但毕竟比起其他木马来这种木马是少数。最主要的是