文章大纲：

• 1、如何清除xp中的特洛伊木马
• 2、怎么彻底清除特洛伊木马病毒
• 3、电脑中了特洛伊木马病毒，有什么彻底清除的办法
• 4、特洛伊木马为什么不容易被发现和删除？有什么 *** 删除？

如何清除xp中的特洛伊木马

特洛伊木马一个远程控制的黑客工具，它的隐藏性和危害性不是一般的大。在xp系统中，是一个比较背容易盯上的系统，所以xp系统的用户们就要学会自己来手动清除这个特洛伊木马了。

木马藏身地及通用排查技术

●在Win.ini中启动木马：

在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

run=C:Windows ile.exe

load=C:Windows ile.exe

则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：

修改注册表中的文件关联是木马常用的手段，如何修改的 *** 已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe(记事本)，但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：

实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。

●在System.ini中启动木马：

System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

Shell=Explorer.exe file.exe

这里的file.exe就是木马服务端程序。

另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。

●利用Windows XP注册表加载运行：

注册表中的以下位置是木马偏爱的藏身之所：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马：

要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。

●在Winstart.bat中启动木马：

Winstart.bat也是一个能自动被Windows XP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win.com或者Kernel386.exe，并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术

现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的 *** 就是马上与 *** 段开，防止计算机骇客通过 *** 对您进行攻击，执行如下步骤：

l 编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。

l 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。

l 在Windows XP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。

木马在无形中进入系统，很多用户都是无法察觉的，再加上它神秘的隐身地，更是难上加难，用户们只有花更多的时间和耐心去排查，将这个隐藏在系统内的地雷排扫掉，保障系统的安全性。

怎么彻底清除特洛伊木马病毒

删除木马时，首先要将 *** 断开，再用相应的 *** 来删除它。

1、通过木马的客户端程序删除

在win.ini或system.ini的文件中找到可疑文件判断木马的名字和版本，然后在 *** 上找到相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地算机地址端口号，就可以与木马程序建立连接，再由客户端的删除木马服务器的功能来删除木马。

2、手工删除

用Msconfig打开系统配置实用程序，对Win.ini、system.ini和启动项目进行编辑，屏蔽掉非法启动项。用rededit打开注册表编辑器，对注册表进行编辑，先由上面的 *** 找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。

由查找到的木马程序注册项，分析木马文件在硬盘中的位置，然后再进行删除。重新启动以后再用上面各种检测木马的 *** 对系统进行检查，以确保木马确实被删除。

3、工具删除

上面二种 *** 对于非专业人员来说操作起来并不容易，但现在已有许多非常好的木马专杀工具，大家可以根据自己需要下载或购买使用。利用工具删除，可以免除烦琐的操作，完全由软件程序自行完成。

扩展资料

特洛伊木马病毒对 *** 中的计算机系统危害也很大。特洛伊木马病毒是指系统被感染此类病毒后，表现症状较多，能干抗系统工作甚至导致系统损坏。

多数病毒检测程序都能检测和识别出特洛伊木马病毒并加以查杀。特洛伊木马病毒的例子包括：Coke、Ondever、ste-roid Trojan和TeLefoon等。

很多木马病毒主要感染的是Outlook和OutlookExpress的邮件客户端软件。如果选用其他的邮件软件，受木马病毒攻击的可能性就会减小。另外通过Web方式访问邮箱也可以减小感染木马的概率。

参考资料来源：百度百科-特洛伊木马病毒

参考资料来源：百度百科-特洛伊木马

电脑中了特洛伊木马病毒，有什么彻底清除的办法

用杀毒软件在安全模式下查杀,如果木马的免杀做的好,那就手工查杀,实在不行就只有重装系统

特洛伊木马为什么不容易被发现和删除？有什么 *** 删除？

有的木马病毒并不能做到完全删除，有必要的可以进行隔离，有效的防止感染到系统里面的其他重要文件和程序。