电脑系统启动项经常有木马-电脑启动项木马病毒系统关键位置木马病毒

1.木马病毒对电脑有什么危害?

2.我家的电脑中了一种病毒,但360清除后有反复的出现,怎么解决

3.电脑中木马病毒的症状

4.电脑自动开机，严重怀疑中木马，怎么办

5.为何重新格式化并重装2000系统后，还有木马？

木马病毒对电脑有什么危害?

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏、或网页中，包含了可以控制用户的计算机系统或通过邮件**用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、**用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前**千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

下面给大家说一下我机器的防护装备：(一共就5样)

XFILTER个人防火墙：这个防火墙没什么防病毒的功能，它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年，它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络，是否放行。它就是这样来防范的。

瑞星杀毒软件：以杀各种恶意病毒和木马为主，2004版专门提供游戏保护。

还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。

木马克星：这个我就不多说了，网络游戏玩家必备的东东。

十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。

以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。

我家的电脑中了一种病毒,但360清除后有反复的出现,怎么解决

我家的电脑中了一种病毒,但360清除后有反复的出现,怎么解决

你好朋友，像这种顽固病毒不好清除的，你可以使用360的急救箱来解决，.下载个：“360系统急救箱”，先“查杀”病毒，再“立即重启”！重启开机后，再点开“隔离|恢复”，点：“彻底删除”病毒档案和“未知自启动项”！再点开“修复”，“全选”，再“修复”档案！如果出现360急救箱无法执行的情况可以把360急救箱改名后执行。希望我的回答对你帮助。

我电脑中了一种病毒求高手帮助

重启后没用是指..还是有病毒？

那是因为你只还原了C盘...

但是病毒不一定只在C盘...

而且...现在的病毒...很有可能

优先感染备份.....

这样...你先把除C盘以外所有的盘子格式化.

然后再买张新碟子...重做系统....系统做好.马上下360...

应该可以搞定

电脑中的隐蔽软体（就是一种病毒）怎么清除？

可能是流氓软体吧，下个360安全卫士。

清理流氓软体效果很好。

:360./down/soft_down2-3.

我电脑中了一种病毒，档案隐藏无法更改。怎么办

朋友，这是你的电脑“丢失”或“误删”了“系统档案”，或“系统档案”被病

毒和“顽固”木马“破坏”，我给你8套方案！

（答案原创，严禁盗用，如有雷同，纯属山寨！）

（提示：360急救箱不能联网，就先用：（5）网路修复，重启电脑，或者使

用：离线模式）

1.下载个：“360系统急救箱”！（安全模式下，联网使用，效果更好！）

（注意：已经安装了“360安全卫士”的朋友，直接开启“木马云查杀”，

点选:快速扫描，扫描结束后，中间有：没有问题，请用360急救箱，点选它！）

1先点：“开始急救”查杀病毒，删除后，“立即重启”！

2重启开机后，再点开“档案恢复区”，全选，点：“彻底删除档案”和“可

疑启动项”！

3再点开“系统修复”，“全选”，再“立即修复”档案！（关键一步）

4再点开：“dll档案恢复”，扫描一下，如果没有就行了，如果有丢失，添

加恢复，手动新增，立即恢复！

5点开：“网路修复”，点：“开始修复”，重启电脑！（关键一步）

2。用“360安全卫士”里“系统修复”，点选“使用360安全网址导航”，“一

键修复”！（关键一步）

3。用“360安全卫士”的“扫描”，然后再“清理”，把它删除！

4。再用“360防毒双引擎版”，勾选“自动处理扫描出的病毒威胁”，用“全盘

扫描”和“自定义扫描”，扫出病毒木马，再点删除！

重启电脑后，来到“隔离区”，点“彻底删除”！

5。使用360安全卫士的“木马查杀”，全盘扫描，完毕再“自定义扫描”！

扫出木马或恶意病毒程式，就点删除！

重启电脑后，来到“档案恢复区”，点“彻底删除”！

6。如果还是不行，试试：“金山急救箱”的扩充套件扫描和“金山网盾”，一键修

复！或者：可牛免费防毒，浏览器医生，浏览器修复，立即扫描，立即修复！

7。再不行，重启电脑，开机后，按F8，回车，回车，进到“安全模式”里，

“高阶启动选项”里，“最后一次正确配置”，按下去试试，看看效果！

8。实在不行，做“一键还原”系统！（方法：我的百度空间的部落格里有）

电脑中了一种病毒，能使网路断线~该怎么办？

愿我的答案 能够解决您的烦忧

这还不简单么，我教你一个办法来防毒吧，其实挺简单的说

下载腾讯电脑管家“8.10”最新版，对电脑首先进行一个体检，开启所有防火墙避免系统其余档案被感染。

开启防毒页面开始查杀，切记要开启小红伞引擎。如果普通查杀不能解决问题，您可以开启腾讯电脑管家---防毒——全盘防毒- 进行深度扫描。

查杀处理完所有病毒后，立刻重启电脑，再进行一次安全体检，清除多余系统快取档案，避免二次感染。

如果您对我的答案不满意，可以继续追问或者提出宝贵意见，谢谢

电脑中了一种病毒，用什么防毒软体可以杀

无法开启分割槽

这是档案关联错误导致的。

试试下面的办法

在资源管理器里选择“工具－－资料夹选项－－检视”，勾选“显示所有档案和资料夹”并去掉“隐藏受保护的作业系统档案”前的勾。

1 如果各分割槽根目录下带autorun.inf一类的隐藏档案，将它删除，重新启动电脑

2 在档案型别中重新设定开启方式（以XP为例）

开启我的电脑 工具 资料夹选项 档案型别 找到“驱动器” 点下方的“高阶” 点选“编辑档案型别”里的“新建” 操作里填写“open”（这个可随意填写） 用于执行操作的应用程式里填写explorer.exe 确定

随后返回到“编辑档案型别”视窗，选中open 设为预设值 确定 现在再开启分割槽看下，是不是已恢复正常？

如果上面的方法不行的话，试试下面的办法

在资源管理器里选择“工具－－资料夹选项－－检视”，勾选“显示所有档案和资料夹”并去掉“隐藏受保护的作业系统档案”前的勾。

1 如果各分割槽根目录下除autorun.inf外还有什么其它隐藏档案，有的话，记下名字然后将它删除（如果能删除的话）。右击这个Autorun.inf档案，选择用记事本开启，检视里面的内容，记下其中“open=”这个等于后面的那个档名。然后将这个Autorun.inf也删除。重新启动电脑。

2.下载一个软体：冰刃(:ttian./website/2005/0829/391.)

这是一个绿色软体，下载解压缩后即可使用。

3.直接在冰刃左侧的栏里通过“档案”直接定位到这个档案所在的资料夹下，找到这个档案。

4.通过按钮“建立时间”对这个资料夹下的档案进行排序，仔细检视与这个档案在建立时间是同一天的所有档案（但是不是都是与它一样是病毒档案，需要你判断）。右击它们一一删除。

5.以记下的、Open后面的这些档案的档名搜寻整个登录档，删除搜寻到的键值。

6.重启电脑。

电脑中了一种病毒一开机就自动关机，怎么办

在安全模式下防毒，进入方法是开机就按F8

中了一种病毒 求教怎么

1，这种病毒现在经常遇到

2，可以进入电脑的安全模式，也就是重启电脑按F8进入

3，在安全模式下，使用电脑管家的病毒查杀，给电脑防毒就行了。

电脑中了VBE病毒怎么清除

字面上看，这个档案的意思是自动执行档案，实际也是如此，它属于系统档案，在可自动播放的光碟中就能发现，但通常是隐藏属性，看到的方法是：资料夹选项->检视，去掉“隐藏受保护的作业系统档案”和“显示所有档案和资料夹”前面的“√”，再点确定，就能看到隐藏的这种档案了。AutoRun.inf档案的功能是开盘自动执行某程式，这就能实现光碟的自动播放功能，但可恶的是，有些黑客利用这个功能来执行木马程式。比如我在U盘中建立一个记事本档案，键入：[AutoRun]open=1.exe那么它就会在双击开启U盘时自动执行U盘中的1.exe档案，这样就能达到种植木马的目的，比如我写一个木马程式，名字为Virus.exe，然后把上面的open=1.exe改成open=Virus.exe，并把这个inf档案和Virus.exe都放在U盘的根目录下，一旦双击U盘，Virus就开始运行了，放在其他盘的根目录下都可以。这个所谓的“反病毒”就是利用这个来搞鬼，它的AutoRun档案程式码如下：[AutoRun]open=wscript.exe u.vbe shell\open\Command=wscript.exe u.vbe shell\explore\Command=wscript.exe u.vbe shell\find\Command=wscript.exe u.vbe 也许你会问了，如果没有1.exe的档案会怎么样？这就是问题所在，没有那个档案，系统在读AutoRun.inf时就会报错，说没有那个档案，然后盘就打不开了。这就是为什么大家在删除u.vbe档案后盘就打不开的原因，因为自动执行档案AutoRun.inf没有删除，双击开盘还是要读它，找不到开盘执行的u.vbe档案，就报错终止了。所以，要防止不能开盘（其实只是不能双击开盘而已，用资源管理器就能开启被感染的磁碟），就要删除AutoRun.inf档案，因为它的档案型别属于系统档案，所以系统会提示你是否要删除该系统档案，不要被吓倒，大胆地选择“是”就可以了，因为正常情况下，系统是没有这个档案的，如果有，十之八九是你的电脑中毒了。 2、防毒首先，要显示这些隐藏档案，选择：资料夹选项->检视，去掉“隐藏受保护的作业系统档案”和“显示所有档案和资料夹”前面的“√”。 请不要使用这个弱智的麻烦制造者所提出的荒谬方案，那个的确能阻止一次，但没有彻底删除所有档案，当你再次双击磁碟时，该的AutoRun还会按照弱智的意愿执行，无聊。 但单纯删除各盘根目录下的AutoRun等档案后，你会发现，再开启磁碟时那些可恶的东西又会跳出来，恶心了，那是因为这个弱智把一个批处理档案注入到程序中，它的功能是不断的向你的磁碟中释放这些档案，导致删不掉，或者说删不尽那些档案。这也不算什么顽固，开启工作管理员，结束cmd.exe程序就好了，这个小把戏实在太傻了。结束之后，进入系统盘的windows目录下，找到字尾为".a"的档案和"u.vbe"、"s.vbe"、"u.bat"以及"Anti-U盘免疫.bat"和"uda-解压.bat"、"U盘病毒分析.bat"、"zap.a"、"主操控.bat"、"打开发送功能.bat"的档案（看到了吧，全是批处理档案，这个 *** 仅仅停留在dos命令阶段，而且有一个传送功能的批处理档案，会收集主机的一些资料，这种行为其实已经构成犯罪了，不过这些档案不一定都有，有些是变种产生的）。将他们统统删除。 再进入各盘根目录下，现在就能放心删除了。删除所有盘中的 autorun.inf u.bat u.vbe

电脑中木马病毒的症状

本文操作环境：windows7系统、Dell G3电脑。

电脑中木马病毒的症状

(一)文件或文件夹无故消失：

　当发现电脑中的部分文件或文件夹无缘无故消失，就可以确定电脑已经中了病毒。部分电脑病毒通过将文件或文件夹隐藏，然后伪造已隐藏的文件或文件夹并生成可执行文件，当用户点击这类带有病毒程序的伪装文件时，将直接造成病毒的运行，从而造成用户信息的泄露。

(二)运行应用程序无反应：

　部分电脑病毒采用映像劫持技术，将常用的应用程序运行路径进行更改为病毒运行目录，从而当我们试图运行正常的程序时，其实是运行了病毒程序，导致电脑病毒的启动。

(三)电脑启动项含有可疑的启动项：

　检查“系统配置实现程序”窗口，如果发现有不明的可执行目录，则可以确定自己的电脑已经中病毒啦。当然更多时候病毒程序是利用修改注册表项来添加自启动项。

(四)电脑运行极度缓慢：

　当电脑运行速度明显变得缓慢时，就及有可能是电脑中病毒所致。中病毒的电脑，通过病毒程序会在后台持续运行，并且绝大多数病毒会占有过多的CPU及内存，而且木马病毒大都会借助网络来传播用户隐私信息。

(五)杀毒软件失效：

　通过杀毒软件用于对系统进行防护，因此当杀毒软件无法正常运行进行杀毒操作时，就可以确信电脑已中病毒，此时我们需要借助网络来实行在线杀毒操作。大部分安全防护软件如360，金山卫士，QQ管家这三款比较主流的国产安全防护软件都有自主防御的防御模块，而病毒或木马最先攻击的就是安全防护软件的自主防御模块。如果您发现主动防御模块被关闭或安全防护软件直接无法启动或内存错误，很有可能是安全防护软件也招架不住这种强悍的病毒而瘫痪了

(六)电脑运行异常：

　病毒会占用过多的系统性能，以及造成文件的破坏，甚至严重影响系统的稳定性。当电脑出现无故蓝屏、运行程序异常、运行速度太慢以及出现大量可疑后台运行程序时，就要引起注意，可能电脑已经中病毒啦。

(七)系统语言更改为其他语言

　大家的计算机系统语言默认是简体中文，如果开机后发现急速阿吉系统语言被修改为其他语言，很有可能是中了恶意病毒了，可以试用安全防护软件扫描清除病毒

(八)蓝屏黑屏

　黑屏比较少见，蓝屏却比较多见了。中了莫名的恶意病毒可能在运行某个游戏或某个软件时突然计算机蓝屏，蓝屏代码可能是某条常见代码，可能是说计算机为了保护系统自动强行重启。

(九)主页篡改，强行刷新或跳转网页，频繁弹广告

　主页被篡改是早期病毒的主要攻击对象，计算机操作系统中毒后一般都会发生浏览器主页被篡改的现象，所以当年IE伴侣这款修复主页篡改的小软件挺受欢迎。如果同时伴有浏览器页面不停反复载入/刷新或无缘无故弹出广告，那么很有可能是中毒了

(十)应用程序图标被篡改或空白

　计算机桌面的程序快捷方式图标或程序目录的主exe文件的图标被篡改或为空白，那么很有可能这个软件的exe程序被病毒或木马感染。蠕虫病毒会进行此类感染修改

电脑中病毒后简单的处理方式

　一、正在上网的用户，发现异常应首先马上断开连接

　如果你发现IE经常询问你是否运行某些ACTIVEX控件，或是生成莫明其妙的文件、询问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：

　1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题，这算是轻的;还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口，直到耗尽资源机?这种情况恶劣得多，你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。

　2、是黑客的潜在的木马发作，或是蠕虫类病毒发作，让你的机器不断地向外界发送你的隐私、或是利用你的名义和邮件地址发送垃圾，进一步传播病毒;还有就是黑客的手工入侵，窥探你的隐私或是删除破坏你的文件。

　处理办法：马上断开连接，这样能将自己的损失降低的同时，也避免了病毒向更多的在线电脑传播。

　二、中毒后，应马上备份转移文档和邮件等

　中毒后运行杀毒软件清除是不在话下的了，但为了防止杀毒软件误杀或是删掉你还处理完的文档和重要的邮件，你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份，所以第一点这里笔者建议您先不要退出windows，因为病毒一旦发作，可能就不能进入windows了。

　不管这些文件是否带毒了，你都应该备份，用标签纸标记为待查即可。因为有些病毒是专门针对某个杀毒软件设计的，一运行就会破坏其他的文件，所以先备份是以防万一的措施。等你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。

　三、需要在windows下先运行一下杀CIH的软件(即使是带毒环境)

　如果是发现了CIH病毒的，要注意不能完全按平时报刊和手册建议的措施，先关机、冷启动用系统盘来引导再杀毒，应在带毒的环境下也运行一次专杀CIH的软件。这样做，杀毒软件可能会报告某些文件在受读写保护无法清理，但带毒运行的实际目的不在于完全清除病毒，而是在于把CIH下次开机时候的破坏减到最低，以防它再次开机破坏主板的BIOS硬件，那么就会黑屏，让你的下一步杀毒无法进行。

　四、需要干净的DOS启动盘和DOS下面进行杀毒

　到现在，就应该按很多杀毒软件的标准手册去按步就班地做，即关机后冷启动，用一张干净的DOS启动盘引导是不能少的了;另外由于中毒后可能windows已经被破坏了部分关键文件，会频繁地非法操作，所以windows下的杀毒软件可能会无法运行。所以请你也准备一个DOS下面的杀毒软件来以防万一。

　即使能在windows下运行杀毒软件的，也请用两种以上工具交叉清理。在多数情况下windows可能要重装，因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。比如即使杀了CIH，微软的outlook邮件程序也是反应较慢的。建议不要对某种杀毒软件带偏见，由于开发时候侧重点不同、使用的杀毒引擎不同，各种杀毒软件都是有自己的长处和短处的，交叉使用效果较理想。

　五、如果有Ghost和分区表、引导区的备份，用之来恢复一次最保险

　如果你在平时作了windows的Ghost备份，用之来镜像一次，得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了，当然，这要求你的GHOST备份是绝对可靠的，呵呵，要是作Ghost的时候把木马也“备份”了就……

　六、再次恢复系统后，更改你的网络相关密码

　包括登录网络的用户名、密码，邮箱的密码和QQ的等等，防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息，所以适当的更改是必要的。

电脑自动开机，严重怀疑中木马，怎么办

1、到目前为止，没听说过哪个木马可以牛到可以自动开机。发生这种问题，除非 是不明真相的抽了。。。。或者是。。。“不能吧”

2、因为你经常淘宝，个人建议你不要裸奔，安全软件一定要有，360你觉得效果不好，可以使用腾讯电脑管家这种查杀能力比较强的安全软件。

3、为了自己着想，确实判断不出问题所在，就花点时间全盘格式化重装系统。如还发生这种问题，那应该是主板问题，因为关机后，唯一有电的地方只有主板上哪个纽扣电池。。。

希望可以帮助到你，望采纳。

为何重新格式化并重装2000系统后，还有木马？

分类: 电脑/网络 >> 反病毒

问题描述:

1、电脑中木马病毒，无法删除，于是重新格式化并重装2000系统（所有的都是用光盘）。但木马仍然存在，当打开某个程序或某个文档时，提示无法找到路径。

2、于是在安全模式下用木马杀客扫描，发现9个木马。（见附件1，而且这些病毒和半个月前我中的毒一模一样。）

重启后，出现“无法找到动态链接库CodeLib.dll于指定路径”？而CodeLib.dll正是杀毒时发现的一个病毒。但也能正常使用电脑。

3、过一天后，再次开机，发现又回到问题的起点了，即当打开某个程序或某个文档时，提示无法找到路径。于是又在安全模式下木马杀客扫描，发现1个木马。（见附件2）

4、仍在安全模式下打开某个文档，又是无法找到路径。于是继续用木马杀客扫描，又发现与3同的木马。

5、重启，回到正常模式下，发现有些程序（如MAXTHON，金山词霸等）的图标异常，变成了一个类似于DOS运行时的小窗口。接着又出现一个DOS运行的小宣传品，标题上写着C:\WINNT\9Sy.exe

同时还有一个对话框C:\WINNT\9Sy.exe NTVDM CPU遇到无效的指令。CS：Odd IP:O1a2 OP:63 68 65 22 3e 选择“关闭”终止应用程序。

其他使用正常。

我的问题是：为什么我老是中这些病毒（按理我已经很注意用机卫生了），而且如何才能彻底清除？SOS！我实在无法忍受这些病毒了，严重干扰了我的正常工作了，我对它们深恶痛绝！救救我，怎么样才能彻底杀这些病毒？

附件1：

Troj.WOW.a.1945

内存中发现木马模块!C:\WINNT\System32\nsp.dll-=>CNNIC.adware.3465

系统事件：已发现伪系统木马!

木马名称：Net-Worm.Win32.Zorin.a.2571

木马路径：C:\WINNT\Logo1_.exe

木马名称：Adware.Cdn.4756

木马路径：C:\WINNT\system32\CdnAux.dll

等等（太长了，不让粘）

附件2：

木马名称：Troj.WOW.a.1945

木马启动项：load

木马从启动项目中清除成功!

c:\winnt\uninstall\rundl132.exe

系统事件：已发现伪系统木马!

Net-Worm.Win32.Zorin.a.2571

解析:

首先告诉你 你中了别人的逻辑感染病毒.

不过别担心 还有的救```

去baidu搜索下载 木马识别器 第3版

安全中心里面有个 自动检查 逻辑感染的...

不过你要确保 当系统重装后 不能打开其他盘.

因为病毒都是已 autorun.inf形式 在你的盘的.

如果你有经验的话

可以打开 隐藏文件(包括查看系统文件)

打开 autorun.inf 里面的语句 ope=*.exe

删除这个 *.exe 和 autorun.inf 就能清除病毒...

不过打开其盘的时候千万不要双击打开.

要用资源管理器打开.