查杀木马如何手动查杀木马

查杀木马是什么？

一、关于木马 　　　　 　　　　木马，其实质只是一个网络客户/服务程序。

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。

就我们前面所讲的木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。

　　　　 　　　　二、发现木马 　　　　 　　　　由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。

一般一台个人用的系统在开机后最多只有137、138、139三个端口。

若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027……，QQ会打开4000、4001……等端口。

　　　　 　　　　在DOS命令行下stat -na命令可以看到本机所有打开的端口。

如果发现除了以上所说的端口外，还有其他端口被占用（特别是木马常用端口被占用），那可要好好查查了，你很有可能“中彩”了！比方说木马“冰河”所占用的端口是7626，黑洞2001所占用的端口是2001，网络公牛用的是234444端口……如果发现这些端口被占用了，基本上就可以判定: 你中木马了！ 　　　　 　　　　三、查找木马 　　　　 　　　　首先要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。

　　　　 　　　　多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了），启动项一般都是加在注册表中的，具体位置在： 　　　　 　　　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值; 　　　　 　　　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值; 　　　　 　　　　HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“Run”开头的键值。

　　　　 　　　　如木马冰河的启动键值是: 　　　　 　　　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 　　　　@="C:\WINDOWS\SYSTEM\KERNEL32.EXE" 　　　　 　　　　广外女生1.51版的启动键值是: 　　　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] 　　　　"Diagnostic Configuration"="C:\WINDOWS\SYSTEM\DIAGCFG.EXE" 　　　　 　　　　蓝色火焰0.5的启动键值是: 　　　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 　　　　"Network Services"="C:\WINDOWS\SYSTEM\tasksvc.exe" 　　　　 　　　　不过，也有一些木马不在这些地方加载，它们躲在下面这些地方: 　　　　 　　　　①在Win.ini中启动 　　　　 　　　　在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子: 　　　　 　　　　run=c:windowsfile.exe 　　　　 　　　　load=c:windowsfile.exe 　　　　 　　　　要小心了，这个file.exe很可能是木马。

　　　　 　　　　②在System.ini中启动 　　　　 　　　　System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。

　　　　 　　　　另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver= 路径程序名”，这里也有可能被木马所利用。

再有，在System.ini中的[mic]、 [drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

　　　　 　　　　③在Autoexec.bat和Config.sys中加载运行 　　　　 　　　　但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心哦。

　　　　 　　　　④在Winstart.bat中启动 　　　　 　　　　Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。

它多数情况下为应用程序及Windows自动生成，在执行了并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。

由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

　　　　 　　　　⑤启动组 　　　　 　　　　木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。

启动组对应的文件夹为:C: WindowsStart MenuProgramsStartUp，在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders Startup="C:windowsstart menuprogramsstartup"。

　　　　⑥*.INI 　　　　 　　　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

　　　　 　　　　⑦修改文件关联 　　　　 　　　　修改文件关联是木马常用手段（主要是国产木马，老外的木马大都没有这个功能），比方说正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的。

“冰河”就是通过修改 　　　　HKEY_CLASSES_ROOT xtfileshellmand下的键值，将“C: WindowsNotepad.exe %1”改为“C:WindowsSystemSYSEXPLR.EXE %1”，这样一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了，好狠毒哦！请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。

对付这类木马，只能检查HKEY_CLASSES_ROOT文件类型shellmand 主键，查看其键值是否正常。

　　　　 　　　　⑧捆绑文件 　　　　 　　　　实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

　　　　 　　　　当发现可疑文件时，你可以试试能不能删除它，因为木马多是以后台方式运行的，通过按Ctrl+Alt+Del是找不到的，而后台运行的应是系统进程。

如果在前台进程里找不到，而又删不了（提示正在被使用）那就应该注意了。

　　　　 　　　　四、手工清除 　　　　 　　　　如果你发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时就应该想办法清除这些家伙了。

　　　　 　　　　那么如何清除木马而不误删其他有用文件呢？当你通过上述方法找到可疑程序时，你可以先看看该文件的属性。

一般系统文件的修改时间应是1999年或1998年而不应该是最近的时间（安装最新的Win2000、 WinXP的系统除外），文件的创建时间应当不会离现在很近。

当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。

　　　　 　　　　首先查进程，检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉后，然后再看看原来怀疑的端口还有没有开放（有时需重启），如果没有了那说明你对了，再把该程序删掉，这样你就手工删除了这匹木马了。

　　　　 　　　　如果该木马改变了TXT、EXE或ZIP等文件的关联，那你应把注册表改过来，如果不会改，那就把注册表改回到以前的就可以恢复文件关联，可通过在DOS下执行scanreg/restore命令来恢复注册表，不过这条命令只能恢复前五天的注册表（这是系统默认的）。

此举可轻松恢复被木马改变的注册表键值，简单易用。

怎么彻底查杀木马病毒？

中了病毒或者木马不要着急，我来帮你： 一般杀毒都是这样的几个步骤，按我说的操作来吧：木马的查杀，可以采用自动和手动两种方式。

最简单的删除木马的方法是安装杀 毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸 或安全之星XP，它们在查杀木马方面很有一套！ 由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。

方法是： 1.)检查注册表 看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和 HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有 以“Run”开头的键值名，其下有没有可疑的文件名。

如果有，就需要删除相应的 键值，再删除相应的应用程序。

2.)检查启动组 木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场 所，因此还是有木马喜欢在这里驻留的。

启动组对应的文件夹为：C:＼windows＼ start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼ Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell Folders Startup="C:＼windows＼start menu＼programs＼startup"。

要注意经 常检查这两个地方哦！ 3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方 比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么 程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的 Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。

当你看 到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可 能就是木马服务端程序！赶快检查吧。

4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里 C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。

5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否 打开。

如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木 马程序，只好再找一个这样的程序，重新安装一下了。

6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动 所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分 木马应该没问题的。

另外，你也可以试试用下面的办法来解决： 从网上下一个叫“冰刃”的软件。

这是一个绿色免安装的小软件，可以放心使用 。

这个是下载地址。

/website/2005/0829/391.html 这个是它的详细用法。

/soft/review/htm2005/20050930_2107Z.htm 一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服 务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是 无法遁身的。

开启的非法进程会以红色显示出来。

至于杀毒软件，应该说各人有各人的喜好，下面给出的链接上你看看比较一下： 六款主流杀毒软件横向评测 /2004/05/19/39/article220183986.shtml 消费者该如何选择？六款杀毒软件横向评测(这个要详细些) /1380/1383/2005513-197230.html

怎样查杀手机木马

可以下载手机管家来清除木马病毒 步骤： 1)进入管家，在安全防护中找到病毒查杀一栏。

2)进入病毒查杀功能后，点击下方按钮，立即对手机进行病毒扫描及杀毒。

若扫描时遇到有危险的软件，手机管家会立即查处并“卸载”，即可清除病毒。

3)在病毒查杀的“设置”选项中还可手动进行“病毒扫描模式”设置，和“更新病毒库”： 手机管家在提供病毒查杀、骚扰拦截、软件权限管理、手机防盗等安全防护的基础上，主动满足用户流量监控、空间清理、体检加速、软件管理、软件搬家等高端化智能化的手机管理需求。

是众多用户使用、并推荐的手机管家。

查杀木马的方法

网络时代安全问题相当重要，木马却威胁我们的计算机。

不要以为我们安装了反病毒软件后就可以高枕无忧了。

网上仍有很多木马程序，它们仍会危及我们的系统安全。

今天给大家介绍其款优秀的反木马软件，帮你远离木马的袭击。

小知识：什么是木马程序？ 与病毒和恶意代码不同的是，木马程序（Trojan horses）隐蔽性很强，你根本不知道它们在运行。

但是它们产生的危害并不亚于病毒。

一旦你的机器中了木马，则网上有人可以通过它来获取你的密码和一些资料。

甚至一些高级的黑客可以远程控制你的电脑。

一般的木马检测和清除程序可以很容易地检测出你机器里的木马，而且由于木马程序每天都会出现新的种类，所以一般的木马程序都会提供即时在线更新服务，以便让它能够即时检测出系统中的木马。

一般的木马保存在注册表中或者会开放我们机器上的一些端口，木马查杀软件会自动清除检测并查杀。

1.Trojan Defense Anti-Trojan 5.5是一款扫描我们TCP/IP端口，文件和注册表的木马查杀工具。

端口检测功能会检查出我们机器上的可疑开放端口，以防止被黑客攻击。

进程查看工具则可以列出Windows中当前所有的进程，从中可以断定哪一个是可疑的木马。

而注册表检查功能使用起来速度非常快，从中可以检测出哪些自启动的程序。

Anti-Trojan可以免费上网升级，而且有10种语言版本。

2.Antiy Ghostbusters Pro 5.05 Antiy Ghostbusters Pro 5.05 有一个朴素但却非常有个性的界面。

它会列出我们机器里所有运行的程序和进程，我们甚至可以通过它来管理我们的自启动程序、进程甚至是某些服务。

Ghostbusters会有一个窗口，显示远程连接端口情况和IP地址，当然，Ghostbusters也可以扫描和清除系统中的木马程序。

3.Digital Patrol 5.00.31 Digital Patrol是一款非常成熟的木马查杀程序，它能够扫描内存、硬盘、文件夹和文件（包括包含在ZIP压缩包中的文件），并能够清除其中的木马程序。

Digital Patrol还有一项技术，可以查出未知的木马。

4.PestPatrol PestPatrol有一个易于使用的界面，在我们的测试中，发现它能够查杀掉我们机器上所有的病毒。

它可以显示出木马的、路径等信息，同时还允许我们登录到PestPatrol网站上学习该木马的更多信息。

和其他程序不同的，PestPatrol除了能够检测和清除掉木马程序外，对于监视软件也可以查杀。

5.Tauscan 1.7 Tauscan 1.7的界面非常直观，和Windows的“资源管理器”非常相似。

即使是未使用过它的用户也可以在它的向导带领下很快上手。

通过菜单下的相关命令，我们就可以选择文件，甚至可以使用通配符来进行木马的查杀。

正是因为它的功能强大，才使得Tauscan几乎成了最为流行的木马查杀工具。

6.TDS-3 Trojan Defence Suite TDS-3 Trojan Defence Suite除了具有查杀木马的功能外，还有很多适于高级用户的网络工具，如网络跟踪、端口查看等。

7.Trojan Remover Trojan Remover使用起来非常简单，它会扫描Windows自启动程序和每一个执行的程序，扫描速度极快。

它也可以自动重命名木马程序，使其不能够自动启动。

最后，它还可以自动修复木马更改的注册表，使其恢复正常。

好了，这七款查杀木马的软件就给大家介绍完了，相信朋友们对付木马易如反掌。

如何手动查杀木马

手动查杀不如使用杀软的，木马病毒库有很多数据，手动不现实， 建议楼主下载安装腾讯电脑管家来进行杀毒， 重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描--完成后打开工具箱--顽固木马克星--深化主，扫描--完成重启电脑就可以了， 希望这样能够帮到楼