文章大纲：

• 1、病毒木马
• 2、小学作文难忘的一件事该怎么写
• 3、关于TROJAN
• 4、速求关于木马病毒的研究的论文
• 5、关于木马病毒

病毒木马

services.exe - services - 进程介绍

进程文件： services or services.exe

进程名称： Windows Service Controller

进程类别：其他进程

英文描述：

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

中文参考：

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\ 目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：Yes

后台程序：Yes

*** 相关：No

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

这个后门还不错，也有点 *** 吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。即为中毒后，任意一个EXE文件的属性，“应用程序”变成“EXE文件”

当然，清除的 *** 也很简单，不过需要注意步骤：

一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

Torjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

4.删除以下两个键值：

HKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的 “rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除病毒添加的文件关联信息和启动项：

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

改为

"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：

HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）

%programfiles%\common files\iexplore.pif

%programfiles%\Internat explorer\iexplore.com

%windir%\1.com

%windir%\exeroute.exe

%windir%\explorer.com

%windir%\finder.com

%windir%\mswinsck.ocx

%windir%\services.exe

%windir%\system32\command.pif

%windir%\system32\dxdiag.com

%windir%\system32\finder.com

%windir%\system32\msconfig.com

%windir%\system32\regedit.com

%windir%\system32\rundll32.com

删除以下文件夹：

%windir%\debug

%windir%\system32\NtmsData

一、病毒评估

1． 病毒中文名： SCO炸弹变种N

2． 病毒英文名： Worm.Novarg.N

3． 病毒别名： Worm.Mydoom.m

4． 病毒大小： 28832字节

5． 病毒类型： 蠕虫病毒

6． 病毒危险等级： ★★★★

7． 病毒传播途径： 邮件

8． 病毒依赖系统： Windows 9X/NT/2000/XP

二、病毒的破坏

1． 通过电子邮件传播的蠕虫病毒，感染之后，它会先在用户本地机器上搜索电子邮件地址，向其发送病毒邮件；

2． 利用在本机上搜索到的邮件地址的后缀当关键词，在Google、Yahoo等四个搜索引擎上搜索相关的email地址，发送病毒邮件传播自身。

3． 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

4． 感染了此病毒的机器，IE浏览器、OE软件和Outlook软件都不能正常使用。

5． 病毒大量向外发送病毒邮件，严重消耗 *** 资源，可能造成局域网堵塞。

三、技术分析

1． 蠕虫病毒，采用Upx压缩。运行后，将自己复制到%WINDOWS%目录下，文件名为：java.exe。释放一个后门病毒在同一目录中，文件名为：services.exe。

2． 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值：JavaVM和Service，实现病毒的开机自启动。

3． 强行关闭IE浏览器、OE软件和Outlook软件，使其不能正常使用。

4．在本地机器上搜索电子邮件地址：从注册表中读取当前系统当前使用的wab文件名，并在其中搜索email地址；搜索internet临时目录（Local Settings\Temporary Internet Files）中的文件，从中提取电子邮件地址；遍历盘符从C:盘到Z:的所有硬盘，并尝试从以下扩展名文件中提取email地址：.adb ，.asp ，.dbx ，.htm ，.php ，.pl ，.sht ，.tbb ，.txt ，.wab。

5． 当病毒搜索到email地址以后，病毒以“mailto +%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址％”为关键字，利用以下四种搜索引擎进行email地址邮件搜索：search.lycos.com、 search.yahoo.com、、，利用这种手段，病毒能够搜索到非常多的可用邮件 地址。

6． 病毒邮件的附件名称为：readme ，instruction ，transcript ，mail ，letter ，file ，text ，attachment等，病毒附件扩展名为：cmd ，bat ，com ，exe ，pif ，scr ，zip。

四、病毒解决方案：

1. 进行升级

瑞星公司将于当天进行紧急升级，升级后的软件版本号为16.37.10，该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒，瑞星杀毒软件标准版和 *** 版的用户可以直接登陆瑞星网站（ ）下载升级包进行升级，或者使用瑞星杀毒软件的智能升级功能。

2. 使用专杀工具

鉴于该病毒的特性，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到： 网址免费下载使用。

3. 使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品是通过手机付费使用的，用户可以登陆 使用在线杀毒产品，或者登陆 使用下载版产品。

4. 打 *** 求救

如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救 *** ：010-82678800来寻求反病毒专家的帮助！

5. 手动清除

（1）结束系统中进程名为：Services.exe和java.exe（在%windows%目录中）

（2）删除系统临时目录中的两个病毒数据文件：MLITGB.LOG和ZINCITE.LOG

（3）删除病毒键立的注册表键：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“JavaVM”=%WINDOWS%\java.exe

和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“Services”=%WINDOWS%\Services.exe

注： %WINDOWS% 是指系统的windows目录，在Windows 9X/ME/XP下默认为:

C:\WINDOWS，Win2K下默认为:C:\WINNT

注： %WINDIR%指的是Windows系统的安装目录，在Windows 95/98/ME/XP操作系统下默认为：C:\WINDOWS目录，在WINDOWS2000操作系统下默认为：C:\WINNT目录。

五、安全建议：

1. 建立良好的安全习惯。 例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。 默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3. 经常升级安全补丁。 据统计，有80%的 *** 病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4. 使用复杂的密码。 有许多 *** 病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7. 更好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等、遇到问题要上报， 这样才能真正保障计算机的安全。

8. 用户还应该安装个人防火墙软件进行防黑。 由于 *** 的发展，用户电脑面临的黑客攻击问题也越来越严重，许多 *** 病毒都采用了黑客的 *** 来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止 *** 上的黑客攻击。

小学作文难忘的一件事该怎么写

陈晨在我的脑海里，有许多幼稚可笑的事情，这些事使我留下了难忘而美好的回忆，但在我脆弱心灵的深处，有令我一件难忘的事，时常缭绕在我的脑边。它就像一把明亮的火焰，为我照亮了崎岖不平的人生道路。

那一件事，不仅让我刻骨铭心，后悔难堪，还让我受到了一次严厉批评。

记得那一次，大地回春，习习的和风，温暖，柔顺，充满了浓浓的春意。爸爸妈妈应有事外出，而我在家闲得无聊，便去邻家的冰清玩。到了她家，她很热情的接待了我。我们正玩得开心，忽然，我看见了我家的小狗雪球。雪球它可有趣了，亲朋好友见了，都喜欢抱抱它，摸摸它。我不开心的时候，总喜欢跟雪球讲讲自己的心事，我都把雪球当做是自己可以述说酸甜苦辣的知心朋友了。

看见雪球，使我产生了一个念头：不如把雪球抱过来，逗它玩玩，好过在这里摆弄那些毫无生命力的玩具吧！我把这个想法跟冰清说了，征得她同意后，我便把雪球抱了过来，冰清便提议让她给雪球洗澡，于是，我便把雪球交给了她。一切都进行得很顺利，但到了给雪球擦身子的时候，发现雪球的皮毛上有一些黏糊糊的东西，见状，冰清便拿出剪刀把那些皮毛剪掉，可是不知怎么的，冰清却刺伤了雪球，鲜血顿时流了出来，染红了雪球洁白的皮毛，雪球尖叫了起来，看到这一切的我，火冒三丈，说：“你这是在干什么呀？”冰清连忙解释道：“对不起，我不是有意的，请原……”“你是，你是，你就是！”心中充满了愤怒，根本就不听冰清的理由，抱着雪球跑回了家，在回家的路上，心里打着主意，怎样使冰清也尝尝痛苦的滋味。

第二天，我假装和冰清和好，和好之后，我说：“应该为我们的和好，庆祝一下吧！”说完，冰清便去买动西了。打发冰清走后，我便把冰清最心爱的兰花的根剪了，再把兰花像以前一样，种上去，。再给兰花水浇点水。计谋成功后，我心里比吃了蜜还甜：“我就不信你这回不痛苦！”刚想完，冰清便回来了，我装着若无其事。跟当初一样，和冰清玩得很开心……

几天过后，妈妈回来告诉我：“冰清家里的兰花死了，她现在哭得好伤心呀！听了妈妈的话，我表面看上去替冰清伤心，但心里，别提多兴奋了。可忍不住那高兴劲，一不小心笑出声来，漏馅了……妈妈看见我这样，很疑惑，便问：“你这是怎么了？这么高兴？”我矢口否认没有，可妈妈穷追不舍，没办法，我只好老老实实地把事情的来龙去脉告诉了妈妈，不料，被妈妈批评一顿：“冰清弄伤雪球固然不对，但她并不是有意的呀！况且，雪球也没有受到什么伤害，可你不仅没有诚心接受冰清的道歉，还对她产生了报复心理，伤害她，这就是你的不对了，做人要宽宏大量，不要为了一点小事而伤和气呀！”真是听君一席话，胜读十年书。我连忙去跟冰清道歉，满脸羞愧的我，生怕会受到她的责备，没想到，冰清不但没有责骂我，还爽快地原谅了我，说自己的不是。那一刻，我真地好开心，好轻松呀！

虽然，冰清原谅了我，但这却是一件另我难忘的事，这件事让我得到了人间最珍贵的人生启示，它就像一把明亮的火焰，为我照亮了崎岖不平的人生道路。作者：陈晨

关于TROJAN

检测和删除系统中的木马教程

一、木马（Trojan Horse）介绍

木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的 *** 极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。

二、木马工作的原理

在Windows系统中，木马一般作为一个 *** 服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把 Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的 *** 服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始-程序-启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。

木马基本上采用了Windows系统启动时自动加载应用程序的 *** ，包括有win.ini、system.ini和注册表等。

在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。

在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述 *** 就是这样。如果等号后面不仅仅是 explorer.exe，而是“shell=Explorer.exe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。

隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。

木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法 *** 连接的存在。具体如何检测，在第三部分有详细介绍。

三、检测木马的存在

知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看system.ini文件

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”

，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

2、查看win.ini文件

选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空

3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，

极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都

屏蔽掉了

4、查看注册表

由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：

“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己

不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的

服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项

“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

Explorer=“CWINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母

的差别！

通过类似的 *** 对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。更好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

4、其它 ***

上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的 *** 线。有可能的话，更好可以逮到“黑”你的那个家伙。下面就介绍一下相应的 *** ：

由“开始-运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示：

显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address

：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000

），而Foreign Address中的地址又不为正常 *** 浏览的地址，那么可以判断你的机器正被

Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非

法连接你计算机的木马客户端。

当 *** 处于非活动状态，也就是目前没什么活动 *** 连接时，在MS-DOS窗口中用netstat命令将看不

到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口

。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何 *** 服务操作，那么在监听该

端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。

注意，使用此 *** 查询处于监听状态的端口，一定要保证在短时间内（更好5分钟以上）没有运行任何

*** 冲浪软件，也没有进行过任何 *** 操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

四、删除木马

好了，用上面的一些 *** 发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将 *** 断开，以排除来自 *** 的影响，再选择相应的 *** 来删除它。

1、由木马的客户端程序

由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址： 127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的 *** 。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该 *** 就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。

2、手工

不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将 [BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

转贴于 华夏黑客同盟

用regedit打开注册表编辑器，对注册表进行编辑。先由上面的 *** 找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。

为保险起见，重新启动以后再由上面各种检测木马的 *** 对系统进行检查，以确保木马的确被删除了。

目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要 Explorer.exe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的 *** 处理木马后，一运行 Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe文件也给删除掉，再从别人相同操作系统版本的计算机中将该文件 Copy过来就可以了。

五、结束语

Internet上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马 *** 也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。

典型案例一：

我的机器已中了木马病毒Trojan.TRC.mIRC.f

是在c:\WINNT\system32\sy5tem文件中，我想要把文件删掉，可是提示为：源文件正在被使用，瑞星杀毒软件又不能杀掉，我的系统是win2oooprofessinal,并不能运行msconfig命令，请教：该怎么办？

回复：

从Windows XP中剥离的Msconfig程序完全可以在Windows 2000中使用。顺便提供 pchome下载点。

把它COPY 到Win2000的WinntSystem目录下，然后直接运行。

程序首先会弹出一个出错的消息框，提示找不到以下几个系统文件：Config.sys、Autoexec.bat、System.ini 及Win.ini，“忽略”它，点击“确定”之后就会看到 Msconfig 程序窗口。

参考文献：

速求关于木马病毒的研究的论文

我的论文题目是计算机病毒的研究，我主要是写木马病毒进行研究的，但是这个深度我不知道要怎么写了，

关于木马病毒

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的 *** ，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，更好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的 *** 就是马上将计算机与 *** 断开，防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

小知识：

“木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从 *** 上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪

解决办法：现在下载个360安全卫士，为什么推荐它呢？由于它跟卡吧斯基联手，下一个安全卫士能免费试用三个月卡吧斯基，这样你的问题就能解决。

下载安全卫士后它再把卡吧斯基装上，这在安全卫士杀马程序就能操作的，无须到网站上下，方便简洁。下完后它会提示你把现有的杀毒软件谢载掉，把它谢完重启后再装卡吧斯基，最后装完升级，重启进入安全模式。这样差不多能百分百把木马干掉，我还没试过这 *** 不爽的。你试试吧