文章大纲：

• 1、简述特洛伊木马的特点及平时防范习惯?
• 2、怎么彻底清除特洛伊木马病毒
• 3、如何防范木马
• 4、对于木马病毒我们有什么应对措施
• 5、木马程序的防范措施

简述特洛伊木马的特点及平时防范习惯?

RFC1244(Request for Comments:1244)中是这样描述木马的：“木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展，木马的攻击、危害性越来越大。木马实质上是一个程序，必须运行后才能工作，所以会在进程表、注册表中留下蛛丝马迹，我们可以通过“查、堵、杀”将它“缉拿归案”。

查

1.检查系统进程

大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。

2.检查注册表、ini文件和服务

木马为了能够在开机后自动运行，往往在注册表如下选项中添加注册表项：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载，如果在这些选项后面加载程序是你不认识的，就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名，只需稍稍改“Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细观察是很难被发现。

在Windwos NT/2000中，木马会将自己作为服务添加到系统中，甚至随机替换系统没有启动的服务程序来实现自动加载，检测时要对操作系统的常规服务有所了解。

3.检查开放端口

远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入Netstat na，可以清楚地看到系统打开的端口和连接。也可从下载Fport软件，运行该软件后，可以知道打开端口的进程名，进程号和程序的路径，这样为查找“木马”提供了方便之门。

4.监视 *** 通讯

对于一些利用ICMP数据通讯的木马，被控端没有打开任何监听端口，无需反向连接，不会建立连接，采用第三种 *** 检查开放端口的 *** 就行不通。可以关闭所有 *** 行为的进程，然后打开Sniffer软件进行监听，如此时仍有大量的数据，则基本可以确定后台正运行着木马。

堵

1.堵住控制通路

如果你的 *** 连接处于禁用状态后或取消拨号连接，反复启动、打开窗口等不正常现象消失，那么可以判断你的电脑中了木马。通过禁用 *** 连接或拔掉网线，就可以完全避免远端计算机通过 *** 对你的控制。当然，亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。

2.杀掉可疑进程

如通过Pslist查看可疑进程，用Pskill杀掉可疑进程后，如果计算机正常，说明这个可疑进程通过 *** 被远端控制，从而使计算机不正常。

杀

1.手工删除

对于一些可疑文件，不能立即删除，有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表，接着用Ultraedit32编辑器查看文件首部信息，通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Da *** 等专用反编译软件对可疑文件进行静态分析，查看文件的导入函数列表和数据段部分，初步了解程序的主要功能。最后，删除木马文件及注册表中的键值。

2.软件杀毒

由于木马编写技术的不断进步，很多木马有了自我保护机制。普通用户更好通过专业的杀毒软件如瑞星杀毒软件进行杀毒，对于杀毒软件，一定要及时更新，并通过病毒公告及时了解新木马的预防和查杀绝技，或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。

怎么彻底清除特洛伊木马病毒

删除木马时，首先要将 *** 断开，再用相应的 *** 来删除它。

1、通过木马的客户端程序删除

在win.ini或system.ini的文件中找到可疑文件判断木马的名字和版本，然后在 *** 上找到相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地算机地址端口号，就可以与木马程序建立连接，再由客户端的删除木马服务器的功能来删除木马。

2、手工删除

用Msconfig打开系统配置实用程序，对Win.ini、system.ini和启动项目进行编辑，屏蔽掉非法启动项。用rededit打开注册表编辑器，对注册表进行编辑，先由上面的 *** 找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。

由查找到的木马程序注册项，分析木马文件在硬盘中的位置，然后再进行删除。重新启动以后再用上面各种检测木马的 *** 对系统进行检查，以确保木马确实被删除。

3、工具删除

上面二种 *** 对于非专业人员来说操作起来并不容易，但现在已有许多非常好的木马专杀工具，大家可以根据自己需要下载或购买使用。利用工具删除，可以免除烦琐的操作，完全由软件程序自行完成。

扩展资料

特洛伊木马病毒对 *** 中的计算机系统危害也很大。特洛伊木马病毒是指系统被感染此类病毒后，表现症状较多，能干抗系统工作甚至导致系统损坏。

多数病毒检测程序都能检测和识别出特洛伊木马病毒并加以查杀。特洛伊木马病毒的例子包括：Coke、Ondever、ste-roid Trojan和TeLefoon等。

很多木马病毒主要感染的是Outlook和OutlookExpress的邮件客户端软件。如果选用其他的邮件软件，受木马病毒攻击的可能性就会减小。另外通过Web方式访问邮箱也可以减小感染木马的概率。

参考资料来源：百度百科-特洛伊木马病毒

参考资料来源：百度百科-特洛伊木马

如何防范木马

1．首先检查计算机是否已被装了木马？

1） 检查注册表。

看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以"Run"开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

2） 检查启动组。

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦！

3） Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方。

比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe 后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。

4） 检查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。木马们也很可能隐藏在那里。

5） 如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。

6） 木马启动都有一个方式，它只是在一个特定的情况下启动，所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

2． 目前已经有一些专门的清除木马的软件，在新推出天网防火墙里面捆绑有强大的木马清除功能，清除一般木马的机制原理主要是：

1） 检测木马。

2） 找到木马启动文件，一般在注册表及与系统启动有关的文件里能找到木马文件的位置。

3） 删除木马文件，并且删除注册表或系统启动文件中关于木马的信息。

但对于一些十分狡滑的木马，这些措施是无法把它们找出来的，现在检测木马的手段无非是通过 *** 连接和查看系统进程，事实上，一些技术高明的木马编制者完全可以通过合理的隐藏通讯和进程使木马很难被检测到。

3． 木马防范工具。

防范木马工具有很多，建议您安装一个，以免遭受损失。下面列出几种常见的木马防范工具：

1） 天网个人版防火墙

2） Norton个人防火墙

3） the cleaner

4） BlackICE

5） LockDown 2000

6） Lockdown

7） ZoneAlarm

8） Mcafee 桌面防火墙

详细的使用 *** 请参考产品使用说明书，本文中涉及的其他产品名称和商标是指拥有相应产品名称和商标的公或者其制造的产品。中国游戏中心对其它公司的产品名称和商标不拥有任何专利权。

对于木马病毒我们有什么应对措施

病毒木马病毒防治

　在普通用户眼里，病毒是神秘的，恐怖。要是再加上“木马”的话，这就如计算机世界中的神话，可惜这神话并不是美好的……但是病毒，木马并非那么“神”，而仅仅只是一小段代码。打个比方PC就是人体，那么计算机病毒就生物病毒，只要对症下“药”，保准“药”到病除。在用户眼里好像只有病毒，木马其实我们常见还有（网页）恶意代码，广告间谍，黑客程序等等，我们逐个来看看。

病毒

这可是鼻祖级的BOSS。也是大家最常见的，但是其实病毒安不同的划分 *** 也会分为DOS病毒，WINDOWS病毒，引导区病毒，宏病毒等，我们这里并不是讨论病毒，所以我就不在罗嗦了。遇到病毒后，大家都已经会毫不犹豫的使用杀毒软件。但是有时候会发现不好用，我就说不好的情况。

1、你是更先感染的用户，反病毒软件正在更新

这时用户在使用中会发现一些异常的状况，但是杀毒软件却毫无反映。此时是最棘手的，因为用户不知道该病毒破坏 *** ，以及应对措施。大多数用户此时会以为自己PC有了什么毛病，不断“测试”期望解决。其实这是非常错误的！

应对 ***

除非情不得已，你应该马上关闭计算机。并立即和自己使用的安全软件的厂商联系，说明症状，等待相关人员的答复。（一般情况下，大的厂商在24小时就会升级，而危害性高的病毒会在几个小时内升级完毕！）

2、病毒在WINDOWS无法查杀

这是因为病毒感染，系统正在使用的文件，此时用户在WINDOWS自然就不好用了。

应对 ***

使用软件的的DOS杀毒程序，进入DOS查杀。

3、重起后杀死的病毒又“复活”了

这多半是感染了引导区等性质的病毒，由于此时引导区被病毒所感染一般的杀毒软件无法彻底解决。

应对 ***

使用杀毒软件提供的引导盘，或自己 *** 的干净的启动盘，来重新引导启动然后在正常查杀。

4、上网后杀死的病毒又“复活”了

这因为某些病毒利用系统的漏洞进行攻击，由于系统，没有相关的补丁所以导致上网后重新感染

应对 ***

最简单的 *** 就是打补丁，有了相关资料也可以设置防火墙（有些防火墙会升级）用户更好定时下载补丁，不要到出了问题再进行弥补。

木马程序的防范措施

楼主你好，可以安装使用腾讯电脑管家杀毒管理二合一，木马查杀升级为专业杀毒，查杀更彻底；系统清理能力提升2倍，电脑加速能力提升35%；16层实时防护，全方位保护电脑安全；电脑管家性能全面优化，大幅降低系统资源占用；首页安全体检升级，动感界面、全新体验；个性换肤华丽升级，精彩皮肤抢鲜使用；