木马的工具检测方法

Ⅰ 两种手动查木马的方法

自己动手检查：

木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。

RFC1244(Request for Comments:1244)中是这样描述木马的：“木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展，木马的攻击、危害性越来越大。木马实质上是一个程序，必须运行后才能工作，所以会在进程表、注册表中留下蛛丝马迹，我们可以通过“查、堵、杀”将它“缉拿归案”。

查

1.检查系统进程

大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。

2.检查注册表、ini文件和服务

木马为了能够在开机后自动运行，往往在注册表如下选项中添加注册表项：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载，如果在这些选项后面加载程序是你不认识的，就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名，只需稍稍改“Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细观察是很难被发现。

在Windwos NT/2000中，木马会将自己作为服务添加到系统中，甚至随机替换系统没有启动的服务程序来实现自动加载，检测时要对操作系统的常规服务有所了解。

3.检查开放端口

远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入Netstat na，可以清楚地看到系统打开的端口和连接。也可从www.foundstone.com下载Fport软件，运行该软件后，可以知道打开端口的进程名，进程号和程序的路径，这样为查找“木马”提供了方便之门。

4.监视网络通讯

对于一些利用ICMP数据通讯的木马，被控端没有打开任何监听端口，无需反向连接，不会建立连接，采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程，然后打开Sniffer软件进行监听，如此时仍有大量的数据，则基本可以确定后台正运行着木马。

堵

1.堵住控制通路

如果你的网络连接处于禁用状态后或取消拨号连接，反复启动、打开窗口等不正常现象消失，那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线，就可以完全避免远端计算机通过网络对你的控制。当然，亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。

2.杀掉可疑进程

如通过Pslist查看可疑进程，用Pskill杀掉可疑进程后，如果计算机正常，说明这个可疑进程通过网络被远端控制，从而使计算机不正常。

杀

1.手工删除

对于一些可疑文件，不能立即删除，有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表，接着用Ultraedit32编辑器查看文件首部信息，通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析，查看文件的导入函数列表和数据段部分，初步了解程序的主要功能。最后，删除木马文件及注册表中的键值。

2.软件杀毒

由于木马编写技术的不断进步，很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒，对于杀毒软件，一定要及时更新，并通过病毒公告及时了解新木马的预防和查杀绝技，或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。

Ⅱ 如何判断手机是否有木马

可以通过安装安全软件来排查手机是否中了木马病毒。

一般来说，手机木马是否存在于你的周围，源于你平时对于网络安全的重视和警惕。

1.木马病毒具有一定的隐蔽性，因此一般来说需要使用杀毒软件或者手机自带的安全中心进行扫描。

2.任何一款杀毒软件都会因为查杀引擎，病毒库样本数量影响对未知病毒的判断，因此扫描结果只是相对的。

3.日常上网遇到陌生链接不要随便点击，下载app尽可能前往官网。

4.手机权限不要随便提供给软件，例如imei，gps定位，这些可能会影响到使用的隐私安全，特别是root，root权限相当于手机令牌，软件一旦恶意使用，手机会变得非常危险。

木马防范

1、检测和寻找木马隐藏的位置

木马侵入系统后，需要找一个安全的地方选择适当时机进行攻击，了解和掌握木马藏匿位置，才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中，还有嵌入在启动文件中，一旦计算机启动，这些木马程序也将运行。

2、防范端口

检查计算机用到什么样的端口，正常运用的是哪些端口，而哪些端口不是正常开启的；了解计算机端口状态，哪些端口目前是连接的，特别注意这种开放是否是正常；查看当前的数据交换情况，重点注意哪些数据交换比较频繁的，是否属于正常数据交换。关闭一些不必要的端口。

3、删除可疑程序

对于非系统的程序，如果不是必要的，完全可以删除，如果不能确定，可以利用一些查杀工具进行检测。

4、安装防火墙

防火墙在计算机系统中起着不可替代的作用，它保障计算机的数据流通，保护着计算机的安全通道，对数据进行管控可以根据用户需要自定义，防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。

5、相关部门加强整治木马产业链，完善相应的法律法规

现阶段，我国存在着一些专业的服务集团，这些集团的存在可以组成一条比较完善的木马产业链。相对于社会安全法律，针对计算机安全的企管科，也应该受到有关部门和主体的重视与管理，需要建立对应的健全的法律措施。

在2017年，我国计算机受到恶意感染的数量减少了百分之二十六，移动互联网恶意程序的数量也逐渐呈现出一种下降的趋势。正是由于《网络安全法》的实施，在一定程度上抑制了恶意程序的扰民问题，该法律法规的颁布，从网络的角度来看，强化了一些基础性网络设施的建设。

因此，互联网环境下，必须依靠全产业链的合作，强化每一条生产线上的管理工作，让《网络安全法》能够发挥出它应有的价值。

6、健全网站和网络游戏的管理

网站和网络游戏开发商要加大对于网站和网络游戏的管理与监督，争取从源头上就阻止木马病毒，让它没有扩散的机会，这是防范网页病毒和网络游戏的主要方式之一。

另外，网络环境的和设备的日常维护、维修、管理工作都要加强，内容包括网站的服务器每日检查，服务器内的数据和资料进行更新，操作、行为日志的核查等工作过，还需要对服务器的网络配置、安全配置等情况进行严格的检查等。

7、增加网民的防范意识

我国计算机用户正在快速的增长，部分用户对于自身信息的保护意识不强，大部分用户的计算机上都没有安装一些杀毒软件，或者是设置防火墙。

他们应该深刻的意识到反病毒是一项长期且系统性的工作，主动了解这方面的相关知识，提高对于木马病毒的防范措施。针对网站中携带的病毒问题，用户还可以利用防火墙在木马盗取用户账号、隐私之前，就将其拦截并歼灭。

Ⅲ 如何用最简单的方法检查计算机是否中了木马病毒

严格来讲，木马和病毒是两种概念。木马是一种载体，最终的目的是把宿主程序（一般是后门程序和病毒程序）植入目标计算机。
所以你的问题的答案应该是这样的：
对于木马程序，首先应该查看系统进程（使用windows2000/xp的任务管理器或者第三方软件）中有没有异常活动的进程，如果有，仔细检查该进程的来源。
再用工具查看windows的启动项，用winxp下的msconfig或者其他工具都可以。一般木马的入口都在这里，把可疑的启动项禁止，再次启动以确认。
使用netstat程序或者其他工具查看本机的端口开放情况，对于无法确认的开放端口，察看其监听程序是否为合法软件。
最后，可以用专用工具来查杀，比如木马防线，木马克星等工具，防病毒软件在这方面的功能比较弱，但也有一定的功效。

Ⅳ 如何手动查杀木马

虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。那么，木马究竟是如何躲在我们的系统中的呢？ 最基本的隐藏: 不可见窗体＋ 隐藏文件木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种:1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马，于是便出现了下面要介绍的“进程隐藏”技术。第一代进程隐藏技术:Windows 98的后门在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形！中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术，就没有这么简单对付了。第二代进程隐藏技术:进程插入在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。你知道吗——进程(Process)是什么 对应用程序来说，进程就像一个大容器。在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。1.进程插入是什么独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说，系统更容易捕获随意的内存读取和写入操作。对于用户来说，操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。当然，操作系统的这个健壮特性是要付出代价的，因为要编写能够与其他进程进行通信，或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如下文要介绍的盗QQ密码。2.木马是如何盗走QQ密码的普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！3.如何插入进程(1)使用注册表插入DLL早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。(2)使用挂钩(Hook)插入DLL比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。你知道吗——什么是API Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求，然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序。(3)使用远程线程函数(CreateRemoteThread)插入DLL在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。木马将自身作为DLL插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的DLL模块就会现形了。不要相信自己的眼睛:恐怖的进程“蒸发”严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。你知道吗——什么是HookHook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。毫无踪迹:全方位立体隐藏利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。跟杀毒软件对着干:反杀毒软件外壳木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。你知道吗——什么是壳顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态
本文来自猴岛游戏论坛 ： http://bbs.hou.com/r2818477_u/

Ⅳ 怎么检查电脑是否有木马

一、通过启动文件检测木马

一旦电脑中了木马，则在电脑开机时一般都会自动加载木马文件，由于木马的隐藏性比较强，在启动后大部分木马都会更改其原来的文件名；

注意：

参数“-a”的作用是显示计算机中目前所有处于监听状态的端口。

如果出现不明端口处于监听状态，而且前又没有进行任何网络服务的操作，则在监听该端口的很有可能是木马。

Ⅵ 木马的检测

木马清道夫
http://www.fjcmw.net/bester/soft/qdf8.81.rar

Ⅶ 怎么样检查木马

识别木马有新招，希望这篇文章对你有所帮助。
一、经常看到有玩家说，在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员，还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道，不管是传奇还是任何一款程序。它都是有他所特有的数据的（包括玩家的帐号、密码，等级装备资料等等）。这些数据都是会通过本机与游戏服务器取得了验证以后，玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~，以我自己的计算机知识，这种语句的大概意思应该是：当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说，其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解，
简单防治的方法：
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把在中加载程序和文件禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。还有，不要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。
木马程序一般分为服务器端程序和客户端程序两个部分，当服务器端程序安装在某台连接到网络的电脑后，就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是，木马是非法取得对对方电脑的控制权，一旦登陆成功，就可以取得管理员级的权利，对方电脑上的资料、密码等是一览无余。不过这种木马一般的伪黑客很少使用，因为一不小心就会引火上身，被对方反查过来就会偷鸡不成蚀把米了，一般他们都会采用只有服务器端的小木马，这类木马通常会把截取的密码发到一个免费邮箱里，不需要人为操作，有空去收趟邮件就可以了，这种木马遍布互连网的各个角落，的确防不胜防，由于木马程序众多，加之不断有新版本、新品种产生，使得软件无法完全应付，所以手动检查清除是十分必要的。
木马会想尽一切办法隐藏自己，别指望在任务管理器里看到他们的踪影，有些木马更是会和一些系统进程寄生在一起的，如着名的广外幽灵就是寄生在MsgSrv32.exe里；当然它也会悄无声息地启动，木马会在每次用户启动windows时自动装载服务端，Windows系统启动时自动加载应用程序的方法木马都会用上，如启动组、win.ini、system.ini、注册表等等都是木马藏身之地；下边简单说一下如何检查，点开始-运行，输入：
msconfig回车 就会打开系统配置实用程序，先点system.ini，看看shell=文件名，正确的文件名应该是explorer.exe，如果explorer.exe后边还跟有别的程序的话，就要好好检查这个程序了，然后点win.ini，run=和load=是可能加载木马程序的途径，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上木马了，当然你也得看清楚，因为如AOL木马，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件；最后点启动，检查里面的启动项是不是有不熟悉的，如果你实在不清楚的话可以把他们全部取消，然后重新运行msconfig，看一下有没有取消的启动项重新被选中的，一般木马都会存在于内存中，（就是线程插入，然后隐藏进程的木马，DLL无进程木马就不会驻留在内存里面，我们在下一次中会讲到）所以发现你取消他的启动项就会自动添加上的，然后你就可以逐步添上你的输入法，音量控制，防火墙等软件的启动项了；还有一类木马，他是关联注册表的文件打开方式的，一般木马经常关联.exe，点开始-运行，输入：regedit回车，打开注册表编辑器，点第一条，也就是HKEY_CLASSES_ROOT，找到exefile，看一下//exefile//shell//open//command里面的默认键值是不是"%1" %* ，如果是一个程序路径的话就一定是中木马了，另外配合两种以上的杀毒软件也是必要的，另外在windows下木马一般很难清除，最后重新启动到dos环境下再进行查杀。
防木马程序、防火墙、及杀毒软件介绍：
1、木马克星： 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
2、绿鹰PC万能精灵2.91 ：专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
3、Symantec AntiVirus：这个我就不用再介绍了吧，全球最大的杀毒软件！强力推荐8.1企业版。

Ⅷ 木马病毒的查杀

首先找到感染文件，其手动方法是结束相关进程然后删除文件。但是目前互联网上出现了各种杀毒软件及专杀，我们可以借助这些安全工具进行查杀。
木马和病毒都是一种人为的程序，都属于电脑病毒，为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用，或为了炫耀自己的技术. 木马不一样，木马的作用是赤裸裸的偷监视别人和盗窃别人密码，数据等，如盗窃管理员密码-子网密码搞破坏，或者好玩，偷窃上网密码用于别处，游戏帐号，股票帐号，甚至网上银行帐户等等.达到偷窥别人隐私和得到经济利益为目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的！导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样，所以木马虽然属于病毒中的一类，但是要单独的从病毒类型中间剥离出来.独立的称之为木马程序。
一般来说一种杀毒软件程序，它的木马专杀程序能够查杀某某木马的话，那么它自己的普通杀毒程序也当然能够杀掉这种木马，因为在木马泛滥的今天，为木马单独设计一个专门的木马查杀工具，那是能提高该杀毒软件的产品档次的，对其声誉也大大的有益，实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果大家说某某杀毒软件没有木马专杀的程序，那这家杀毒软件厂商自己也好像有点过意不去，即使它的普通杀毒软件里当然的有杀除木马的功能。并且，在互联网上公开的病毒，一般杀毒厂商都会更新病毒库，便以查杀。
还有一点就是，把查杀木马程序单独剥离出来，可以提高查杀效率,很多杀毒软件里的木马专杀程序只对木马进行查杀，不去检查普通病毒库里的病毒代码，也就是说当用户运行木马专杀程序的时候，程序只调用木马代码库里的数据，而不调用病毒代码库里的数据，大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的，因为有太多太多的病毒.每个文件要经过几万条木马代码的检验，然后再加上已知的差不多有近10万个病毒代码的检验，那速度岂不是很慢了.省去普通病毒代码检验，是不是就提高了效率，提高了速度呢? 也就是说好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒，但是它自身的普通病毒查杀程序既查杀病毒又查杀木马！
如何查出：
在使用常见的木马查杀软件及杀软件的同时，系统自带的一些基本命令也可以发现木马病毒：
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto（连接方式）、local address（本地连接地址）、foreign address（和本地建立连接的地址）、state（当前端口状态）。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。
二、禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。
三、轻松检查账户
很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况，可以用很简单的方法对账户进行检测。
首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是！如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！
联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。
四、对比系统服务项
1、点击“开始，运行”输入“msconfig.exe回车，打开”系统配置实用程序，然后 在“服务”选项卡中勾选“隐藏所有Microsoft服务”，这时列表中显示的服务项都是非系统程序。
2、再点击“开始，运行”，输入Services.msc回车，打开“系统服务管理”，对比两张表，在该“服务列表”中可以逐一找出刚才显示的非系统服务项。
3、在“系统服务”管理界面中，找到那些服务后，双击打开，在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置，一般正常安装的程序，比如杀毒，MSN，防火墙，等，都会建立自己的系统服务，不在系统目录下，如果有第三方服务指向的路径是在系统目录下，那么他就是“木马”。选中它，选择表中的“禁止”，重新启动计算机即可。
4、要点：有一个表的左侧：有被选中的服务程序说明，如果没用，它就是木马。 1、盗取我们的网游账号，威胁我们的虚拟财产的安全
木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息，威胁我们的真实财产的安全
木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给黑客，直接导致我们的经济损失。
3、利用即时通讯软件盗取我们的身份，传播木马病毒等不良信息
中了此类木马病毒后，可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性。如恶作剧等。
4、给我们的电脑打开后门，使我们的电脑可能被黑客控制
如灰鸽子木马等。当我们中了此类木马后，我们的电脑就可能沦为肉鸡，成为黑客手中的工具。 木马查杀（查杀软件很多，有些病毒软件都能杀木马）
防火墙（分硬件和软件）家里面的就用软件好了，如果是公司或其他地方就硬件和软件一起用。
基本能防御大部分木马，但是的软件都不是万能的，还要学点专业知识，有了这些，你的电脑就安全多了。高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），还要及时更新系统漏洞，如果你都做到了，木马，病毒。就不容易进入你的电脑了。

Ⅸ 怎样鉴别木马病毒

愿我的答案 能够解决您的烦忧

检测电脑是否中毒最好的办法自然就是用杀毒软件检测了

直接用杀毒软件扫描一下，就知道你电脑到底有没有中毒了

1，下载腾讯电脑管家“8.11”最新版

2，打开杀毒页面开始查杀，切记要打开小红伞引擎。如果普通查杀不能解决问题，您可以打开腾讯电脑管家---杀毒——全盘杀毒- 进行深度扫描。

3，查杀处理完所有病毒后，立刻重启电脑，再进行一次安全体检，清除多余系统缓存文件，避免二次感染。

如果您对我的答案不满意，可以继续追问或者提出宝贵意见，谢谢