文章大纲：

• 1、插入U盘显示有木马什么原因？
• 2、什么是“木马病毒”，它对电脑有哪些影响?
• 3、如何清除木马病毒？

插入U盘显示有木马什么原因？

是U盘上有木马，被拦截了是指没有侵害到电脑，但是还是需要把木马删除掉才能保证安全，不然就会感染电脑。现阶段既然已经被拦截，所以不会影响电脑里的重要东西。操作如下：

1、插入U盘，这是会不要点击U盘

2、火绒安全卫士会弹窗

3、点击右上方的 设置 按钮

4、点击 扫描 全部设备

5、这时候会自动查杀U盘里是否有病毒

6、查杀完毕，没有病毒的话，点击完成就OK

什么是“木马病毒”，它对电脑有哪些影响?

木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机 *** 中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

木马的种类

1、普通的以单独EXE文件执行的木马

2、进程插入式木马

3、Rootkit类

4、其他

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是 *** 裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

如何防御木马病毒？

木马查杀（查杀软件很多，有些病毒软件都能杀木马）

防火墙（分硬件和软件）家里面的就用软件好了

如果是公司或其他地方就硬件和软件一起用

基本能防御大部分木马，但是现在的软件都不是万能的，是不？还要学点专业知识，有了这些，你的电脑就安全多了

现在高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），如果你都做到了，木马，病毒。就不容易进入你的电脑了。

如何删除木马病毒 ？

可以下载卡巴斯基（建议先卸载其他杀毒软件）绿鹰PC万能精灵

也可以下载瑞星杀毒软件（建议先卸载其他杀毒软件）

卡巴斯基搜索下就可以找到下载，其授权key到这里下载：

绿鹰PC万能精灵

瑞星杀毒2008

他的sn: Ew7S5NLyptbybbpt

1、禁用系统还原（Windows Me/XP）

如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。

注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设置。

2、将计算机重启到安全模式或者 VGA 模式

关闭计算机，等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式

Windows 95/98/Me/2000/XP 用户：将计算机重启到安全模式。所有 Windows 32-bit 作系统，除了Windows NT，可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。

Windows NT 4 用户：将计算机重启到 VGA 模式。

扫描和删除受感染文件启动防病毒程序，并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染，请单击“删除”。如有必要，清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的，请执行以下步骤：

启动 Internet Explorer。单击“工具”“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中，单击“删除文件”，然后在出现提示后单击“确定”。在“历史”部分，单击“清除历史”，然后在出现提示后单击“是”。

3、关于病毒的危害，Download.Trojan会 执行以下作：

进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。

完成下载后，特洛伊木马程序将执行它们。

如何清除木马病毒？

目前 *** 上最猖獗的病毒估计非木马程序莫数了，特别是在过去的2004年木马程序的攻击性也有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的EXE可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等，这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。

操作步骤：

1.通过自动运行机制查木马

一说到查找木马，许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”，具体的地方一般有以下几处：

1）注册表启动项：

在“开始/运行”中输入“regedit.exe”打开注册表编辑器，依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以"Run"开头的项，其下是否有新增的和可疑的键值，也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。

另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马，比如把键值修改为“X:\windows\system\ABC.exe "%1"%”。

2）系统服务

有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。

然后禁用或删除木马添加的服务项：在“运行”中输入“Services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。也可以通过注册表进行修改，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键，在右边窗格中找到二进制值“Start”，修改它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然更好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。

3）开始菜单启动组

现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]，键名为Startup。

4）系统INI文件Win.ini和System.ini

系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”，输入“msconfig”调出系统配置实用程序，检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序，一般情况下“＝”后面是空白的；还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。

5）批处理文件

如果你使用的是WIN 9X系统，C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下，里面的命令一般由安装的软件自动生成，在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”，启动时就只显示命令的执行结果，而不显示命令的本身；如果再在前面加一个“@”字符就不会出现任何提示，以前的很多木马都通过此 *** 运行。

2.通过文件对比查木马

最近新出现的一种木马。它的主程序成功加载后，会将自身做为线程插入到系统进程SPOOLSV.EXE中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户是否在进行关机和重启等操作，如果有，它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形（下面均以Win XP系统为例）：

1）对照备份的常用进程

大家平时可以先备份一份进程列表，以便随时进行对比查找可疑进程。 *** 如下：开机后在进行其他操作之前即开始备份，这样可以防止其他程序加载进程。在运行中输入“cmd”，然后输入“tasklist /svc X:\processlist.txt”（提示：不包括引号，参数前要留空格，后面为文件保存路径）回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /？”可以显示该命令的其它参数。

2）对照备份的系统DLL文件列表

对于没有独立进程的DLL木马怎么办吗？既然木马打的是DLL文件的主意，我们可以从这些文件下手，一般系统DLL文件都保存在system32文件夹下，我们可以对该目录下的DLL文件名等信息作一个列表，打开命令行窗口，利用CD命令进入system32目录，然后输入“dir *.dllX:\listdll.txt”敲回车，这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入，可以再利用上面的 *** 备份一份文件列表“listdll2.txt”，然后利用“UltraEdit”等文本编辑工具进行对比；或者在命令行窗口进入文件保存目录，输入“fc listdll.txt listdll2.txt”，这样就可以轻松发现那些发生更改和新增的DLL文件，进而判断是否为木马文件。

3）对照已加载模块

频繁安装软件会使system32目录中的文件发生较大变化，这时可以利用对照已加载模块的 *** 来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”，展开“软件环境/加载的模块”，然后选择“文件/导出”把它备份成文本文件，需要时再备份一个进行对比即可。

4）查看可疑端口

所有的木马只要进行连接，接收/发送数据则必然会打开端口，DLL木马也不例外，这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称，Local Address是本地计算机的IP地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数，使用这个参数就可以把端口与进程对应起来。输入“netstat /？”可以显示该命令的其它参数。

接着我们可以通过分析所打开的端口，将范围缩小到具体的进程上，然后使用进程分析软件，例如《WINDOWS优化大师》目录下的WinProcess.exe程序，来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的 *** 来进行通信的，一般它们会选择139、80等常用端口，所以大家分析时要多加注意。也可以利用 *** 嗅探软件（如：Commview）来了解打开的端口到底在传输些什么数据.