文章大纲：

• 1、电脑方面高手请进（关于木马病毒）
• 2、关于木马病毒与木马，帮帮忙！
• 3、木马病毒的特征
• 4、关于木马病毒
• 5、关于木马病毒的说法

电脑方面高手请进（关于木马病毒）

打开windows任务管理器，察看是否有可疑的进程在运行，如果有把它结束。（Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他可能是病毒或恶意程序之类的东西。）

若无法结束，再察看控制面板〉管理工具〉服务，看有没有与之相关的 服务（特别是“描述”为空的）在运行，把它停止。同时设法查找这些恶意程序文件（如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或染毒文件），然后删去。

转载请注明原作者恋曲2010

关于木马病毒与木马，帮帮忙！

病毒、木马及恶意程序“屡禁不止”问题解决方案

这个问题主要表现：杀毒时杀毒软件报清除失败/隔离失败/拒绝访问；每次开机时（或每隔一段时间）杀毒软件都提示一个相同的病毒被清除；

.....解决办法.....

1.打开windows任务管理器，察看是否有可疑的进程（可以根据杀毒软件的报告或者在网上搜索相关信息来判定）在运行，如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他才可能是木马或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到木马程序文件（主要是你所中止的木马进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件），然后删去，搞清楚是否是系统文件再动手。

2.有些病毒进程仍终止不了，根据我的经验可尝试：

A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是：察看控制面板〉管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。再试着中止病毒进程并删除。

B.开始〉运行，输入msconfig，确定，可以打开“系统配置实用程序”。选择“启动”，察看开机时加载的程序，如果在其中发现恶意木马程序，取消勾选可以禁止它在开机时加载。重新启动计算机，就可以查找并删除这些程序了。

C.你可以尝试安全模式下（开机后按F8选安全模式）用杀毒软件处理，不行则再按步骤1和2A、2B试一试。

D.（危险慎用）使用冰刃（即IceSword）等工具，察看木马进程的线程信息和模块信息，尝试结束线程和解除模块，再试着删除木马程序文件和相应的模块。

3.还是不能解决？只好请教高人，当然我不希望格式化重装

木马病毒的特征

木马的基本特征

木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征：

1、隐蔽性是其首要的特征

如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的更大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面：

a、不产生图标

它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；

b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。

5、能自动打开特别的端口

木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。

6、 功能的特殊性

通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

7、黑客组织趋于公开化

以往还从未发现有什么公开化的病毒组织（也许是我孤陋寡闻），多数病毒是由个别人出于好奇（当然也有专门从事这一职业的），想试一下自己的病毒程序开发水平而做的，但他（她）绝对不敢公开，因为一旦发现是有可能被判坐牢或罚款的，这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织，但应绝对是属于“地下”的。现在倒好，什么专门开发木马程序的组织到处都是，不光存在，而且还公开在网上大肆招兵买马，似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷，黑的手段也越来越高明。我不知道为什么，但据讲其理由是“为了自卫、为了爱国” 。

木马入侵的常用手法及清除 ***

关于木马病毒

纪录键盘的仅仅是木马的一种。它可以纪录你所有的按键记录，而不是数字或者汉字。

木马说的通俗一点就是一个偷偷躲在你电脑中的间谍，它会把你电脑中的某些资料发送给安装木马的那个家伙，比如说游戏帐号、密码、银行卡资料等等。

关于木马病毒的说法

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代 *** 的安全运行。

木马的原理

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如 *** 游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的， 它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和遗失。特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

特洛伊木马有两种，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。

木马的特征

特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的，运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行，或立刻自动变更文件名，甚至隐形，或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。