如何使用木马程序复制文件夹_如何使用木马程序复制文件

什么是“木马程序？”

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的 *** 病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机 *** 中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

中木马了怎么办？

现在的木马很隐蔽，没什么特点。

近几年，木马活动越来越频繁。针对这些木马的查杀工具和 *** 也先后登场。反病毒、反黑客软件的反应速度远没有木马出现的速度快，所以，如果自己懂得手工查杀木马的 *** ，就可以应付自如了。

发现木马由于木马是基于远程控制的程序，因此，中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网，会有其他端口，这是本机与网上主机通讯时打开的，如IE一般会打开连续的端口:1025，1026，1027等。

在DOS命令行下用”netstat -na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用(特别是木马常用端口被占用)，那可要好好查查了，很有可能中了木马。

查找木马要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具 *** 置在：HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。

不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:

●在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是: run=c:\windows\file.exe或load=c:\windows\file.exe，要小心了，这个file.exe很可能就是木马。

●在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

●在Autoexec.bat和Config.sys中加载运行

这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种 *** 并不多见，但也不能因此而掉以轻心。

●在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

●启动组

木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp，在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup='C:\windows\start menu\programs\startup'。

●*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

●修改文件关联

修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。

●捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次Windows启动均会启动木马。

手工清除木马

如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起， *** 连接及鼠标、屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时，就应该想办法清除它们了。

当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行，通过按“Ctrl+Alt+Del”是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了(提示正在被使用)，那就应该注意了。

那么，如何清除木马而不误删其他有用文件呢？当你通过上述 *** 找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年，而不应该是最近的时间(安装最新的Win2000、WinXP的系统除外)，文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。

首先，查进程。检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉，然后，再看看原来怀疑的端口还有没有开放(有时需重启)，如果没有了，那说明杀对了，再把该程序删掉，这样，就手工删除了这个木马了。

如果该木马改变了TXT、EXE或ZIP等文件的关联，那应把注册表改过来，如果不会改，那就把注册表改回到以前的，就可以恢复文件关联，可通过在DOS下执行“scanreg/restore”命令来恢复注册表，不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值，简单易用。

什么是木马程序，有什么功能？

木马简介前言

在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马，当初怎么就想不通它与病毒扯上关系了。经过一番了解，原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市，从而一举占领敌方城市的故事，因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟：它就是通过潜入你的电脑系统，通过种种隐蔽的方式在系统启动时自动在后台执行的程序，以“里应外合”的工作方式，用服务器/客户端的通讯手段，达到当你上网时控制你的电脑，以窃取你的密码、游览你的硬盘资源，修改你的文件或注册表、偷看你的邮件等等。

一旦你的电脑被它控制，则通常表现为蓝屏然死机；CD-ROM莫名其妙地自己弹出；鼠标左右键功能颠倒或者失灵或文件被删除；时而死机，时而又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多等等。

不过要知道，即使发现了你的机器染上木马病毒，也不必那么害怕，因为木马病毒与一般病毒在目的上有很大的区别，即使木马运行了，也不一定会对你的机器造成危害。但肯定有坏处，你的上网密码有可能已经跑到别人的收件箱里了，这样黑客们就可以盗用你的上网账号上网了！木马程序也是病毒程序的一类，但更具体的被认为黑客程序，因为它入侵的目的是为发布这些木马程序的人，即所谓的黑 *** 务的。

本文将就木马的一些特征、木马入侵的一些常用手法及清除 *** 以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。

木马的基本特征

木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征：

1、隐蔽性是其首要的特征

如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的更大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面：

a、不产生图标

它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；

b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。

5、能自动打开特别的端口

木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。

6、 功能的特殊性

通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

7、黑客组织趋于公开化

以往还从未发现有什么公开化的病毒组织（也许是我孤陋寡闻），多数病毒是由个别人出于好奇（当然也有专门从事这一职业的），想试一下自己的病毒程序开发水平而做的，但他（她）绝对不敢公开，因为一旦发现是有可能被判坐牢或罚款的，这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织，但应绝对是属于“地下”的。现在倒好，什么专门开发木马程序的组织到处都是，不光存在，而且还公开在网上大肆招兵买马，似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷，黑的手段也越来越高明。我不知道为什么，但据讲其理由是“为了自卫、为了爱国” 。

木马入侵的常用手法及清除 ***

虽然木马程序千变万化，但正如一位木马组织的负责人所讲，大多数木马程序没有特别的功能，入侵的手法也差不多，只是以前有关木马程序的重复，只是改了个名而已，现在他们都要讲究效率，据说他们要杜绝重复开发，浪费资源。当然我们也只能讲讲以前的一些通用入侵手法，因为我们毕竟不是木马的开发者，不可能有先知先觉。

1、在win.ini文件中加载

一般在win.ini文件中的[windwos]段中有如下加载项：

run= load= ，一般此两项为空，如图1所示。

图1

如果你发现你的系统中的此两项加载了任何可疑的程序时，应特别当心，这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中之后，那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序，但你要知道这更是木马利用的好机会，它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，这个文件名也往往用你常见的文件，如command.exe、sys.com等来伪装。

2、在System.ini文件中加载

我们知道在系统信息文件system.ini中也有一个启动加载项，那就是在[BOOT]子项中的“Shell”项，如图2所示。

图2

在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称伪装成几乎与原来的一样，只需稍稍改"Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细留意是很难被人发现的，这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的，而是直接把“Explorer”改为别的什么名字，因为他知道还是有很多朋友不知道这里就一定是“Explorer”，或者在“Explorer”加上点什么东东，加上的那些东东肯定就是木马程序了。

3、修改注册表

如果经常研究注册表的朋友一定知道，在注册表中我们也可以设置一些启动加载项目的，编制木马程序的高手们当然不会放过这样的机会的，况且他们知道注册表中更安全，因为会看注册表的人更少。事实上，只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce]，如图3所示；

图3

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]，如图4所示。

图4

你只要按照其指定的源文件路径一路查过去，并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了，不过同样要注意木马的欺骗性，它可是最善于伪装自己呵！同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名，如有则立即删除。

4、修改文件打开关联

木马程序发展到了今天，他们发现以上的那些老招式不灵了，为了更加隐蔽自己，他们所采用隐蔽的手段也是越来越高明了（不过这也是万物的生存之道，你说呢？），它们采用修改文件打开关联来达到加载的目的，当你打开了一个已修改了打开关联的文件时，木马也就开始了它的运作，如冰河木马就是利用文本文件（.txt）这个最常见，但又最不引人注目的文件格式关联来加载自己，当有人打开文本文件时就自动加载了冰河木马。

修改关联的途经还是选择了注册表的修改，它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目，如冰河木马修改的对象如图5所示，

图5

如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”，而是改为“sy***plr.exe %1”。

以上所介绍的几种木马入侵方式，如果发现了我们当然是立即对其删除，并要立即与 *** 断开，切断黑客通讯的途径，在以上各种途径中查找，如果是在注册表发现的，则要利用注册表的查找功能全部查找一篇，清除所有的木马隐藏的窝点，做到彻底清除。如果作了注册表备份，更好全部删除注册表后再导入原来的备份注册表。

在清除木马前一定要注意，如果木马正在运行，则你无法删除其程序，这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项，如果你是在木马处于活动时删除该项的话它能自动恢复，这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。

电脑病毒木马怎么办

问题一：电脑被设置了木马病毒了，怎么办？ 50分 木马小常识

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。

一、木马的危害

相信木马对于众多网民来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！

木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面！

广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作 *** 和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

二、木马原理

特洛伊木马属于客户/服务模式。它分为两大部分，即客户端和服务端。其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例，被控制端可视为一台服务器，控制端则是一台客户机，服务端程序G_Server.exe是守护进程，G_Client.exe是客户端应用程序。

为进一步了解木马，我们来看看它们的隐藏方式，木马隐藏 *** 主要有以下几种：

1.)在任务栏里隐藏

这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标，傻子都会明白怎么回事。在VB中，只要把form的Viseble属性设置为False，ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.)在任务管理器里隐藏

查看正在运行的进程最简单的 *** 就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行，那么这肯定不是什么好的木马。所以，木马千方百计的伪装自己，使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。

3.)端口

一台机器由65536个端口，你会注意这么多端口么？而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口，占用这些端口可能会造成系统不正常。这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么？

4.)木马的加载方式隐蔽

木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马，你会运行它才怪呢。而随着网站互动化进程的不断进步，越来越多的东西可以成为木马的传播介质，JavaScript、VBScript、ActiveX、XLM……..几乎每一个新功能都会导致木马的快速进化。

5.)木马的命名

木马服务端程序的命名也有很大的学问。如果你不做任何修改的话，就使......

问题二：我的电脑怎么反复感染木马病毒，怎么解决 你好：

你应该是中的感染型木马，所以只要有一个木马没有清除，那么一段时间之后，就会感染很多文件，造成你反复查杀，都无法清除的现象

你可以访问腾讯电脑管家官网，下载安装一个电脑管家

使用电脑管家工具箱中的顽固木马克星来查杀一下

它专门为普通杀软检测不到，或者检测到无法清除的顽固威胁而设计

采用特别强力的查杀引擎，可以清除各种顽固的木马病毒

如果以后有什么问题，欢迎再来电脑管家企业平台询问，我们会尽心为您解答

问题三：如果电脑系统内存有木马病毒怎么才能清除干净 这是因为现在的很多的木马病毒都是驱动型、注入型的。这类木马病毒都是将自己进程注入到系统的进程中，而且将自己写进系统服务当中，一开机就自动运行，自动从网上下载最新的木马病毒变种，杀毒软件也对之措手无策。对于这类病毒，应该配合手工操作进行杀掉。 首先，必须断开 *** ，而且更好是进入安全去。这一点一定要注意，不然永远有杀不完的病毒。 1、先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹，去掉“隐藏受保护的系统文件”的选中，让所有的文件都显示出来 2、利用操作系统本身具有的软件限制策略禁止病毒文件或进程被调用运行：手工关闭相关进程后，在“管理工具”→“本地安全策略”→“软件限制策略”→“其他规则”→右键单击→选“新散列规则”→点“文件散列”右边的“浏览”→找到“病毒文件或可疑文件”，点“打开”返回后，将病毒文件安全级别设置为不允许，最后点“确定”；这样就禁止病毒运行或被其他系统进程调用。 3、用360安全卫士扫描，配合使用Unlocker.EXE软件，找到病毒文件，右键单击，选择Unlocker.EXE，在弹出的对话框中，选“解锁”或“过程结束”，再右键单击，选择Unlocker.EXE，如果这回弹出另外一个对话框，可以直接选删除，手工删木马病毒，同样的其他病毒文件也按这样的办法来杀 4、重启，进入安全模式，强烈推荐用卡巴斯基全面扫病毒。 5、杀完毒后须进行下面的操作：我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹，钩选“隐藏受保护的系统文件”的选中，隐藏系统文件。

希望采纳

问题四：我的电脑中了病毒，是木马病毒和后台程序？怎么办？ 建议下载360系统急救箱(原顽固木马专杀大全) 下载完成后断网进入安全模式下查杀，切记一定要断网，如果发现打不开把360急救箱就把它重命名之后打开 。下载不了360系统急救箱软件那么您就叫别人上传一个给你 !或者拿优盘去别的电脑上下载过来！然后重新安装360杀毒全盘查杀!还不行就全盘格式化 重装系统就绝对没问题了！

问题五：电脑中木马病毒了怎么办？ 你电脑里有安全软件吗？没有的话现在赶紧下个腾讯电脑管家，用它对你的电脑进行全盘扫描，深入检查一下。如果真的像你说的是因为下载到了有毒的文件导致的，它会帮你把这个文件揪出来的。你电脑里现在那些乱七八糟的程序，应该是中毒后导致的，这些程序也需要集体删除，你可以在清除病毒后再使用管家的软件卸载功能彻底卸载掉，这样就没事了，不要太担心了，很容易解决的。

现在最新版本的腾讯电脑管家星星版还是金秀贤代言的哦~它除了杀毒还有很多别的功能呢，像小火箭加速就很好用，可以即时立刻为电脑提速；还有管家锁是保护游戏装备安全的，如果你玩游戏是很有用的。

好了我回答这么多，记得采纳我哦！

问题六：电脑被木马攻击了 怎么办 杀不出毒来怎么办 经常上网的你可能都遇到过发现木马病毒却无法杀掉的情况，其实并不是杀毒软件无能，而是病毒和木马总是先杀毒软件一步，病毒和木马技术也是也是计算机行业更先进的技术代表，如果杀毒软件没有检测过或者收到过这个木马病毒的样本，并且这个木马或者病毒的行为和之前的木马和病毒不一样，那么杀毒软件就不会有对策，比方说将自己隐藏在系统进程里，并且没有特殊的的条件不予激活，那么这个木马或者病毒就看起来是一个安分守己的程序。这就是很多时候实际上我们的电脑并不干净，虽然用杀毒软件没有发现木马或病毒。

但是，有时候，我们确实会遇到能够查到木马病毒却无法删除的情况。这种主要是四种原因：

1、木马或者病毒文件“绑架”了程序的核心进程或文件，杀毒软件无法下手（此种情况居多，若下手就有可能是误杀了）；

2、木马或病毒禁止了杀毒软件的某些核心进程或已将杀毒软件禁用；（此种情况也不少，不少木马程序对于国内的杀毒软件就是这么干的）

3、杀毒软件收到了这种病毒的样本，却还没有找到解决的办法；

4、杀毒软件的主动防御机制发现了这个文件的异常行为，并且和以上3条中的某一条相结合；

但是，对于用户的我们如果真的遇到这种查到病毒无法清除的情况怎么办？

对于那些隐藏的比较深的木马或病毒，只有靠对计算机的熟悉程度，经常关注系统的进程来发现；

对于那些能够查到但无法清除的情况反而比较好办了，你可以试试有图给你提供的以下 *** 。

1、使用木马病毒专杀工具试试。既然能查到病毒的名称，不妨搜索一下是否有专杀软件，金山和瑞星喜欢出专杀工具，360也有不错的木马专杀工具。

2、更换一个杀毒软件。如果当前你的杀毒软件遇到了杀不掉的木马病毒，建议你卸掉当前的杀毒软件（如果你愿意），然后安装其他的杀毒软件试试，特别是比较严格的卡巴斯基或者nod32，并且更新到最新的病毒库查杀一下试试。（很多杀毒软件都可以可以免费试用）

3、手工查杀。比较麻烦，漫漫看。

之一步、查找木马病毒文件。

启动计算机后，按Ctr+Alt+Del或右键单击“任务栏”空白处，选择“任务管理器”，找到进程，看到可疑进程在网上查一下来历，如果嫌疑身份没有排除，就查找位置，如果在windows目录下或者Windows\system32目录下，就更可疑了，如果碰巧和我们杀毒软件查到的是同一个文件，那就可以确信无疑了。记录下他们的详细位置，后面用得到。

第二步、去掉木马病毒自动运行。

如果是Windows Xp、vista、windows7可以 在开始菜单“运行”栏输入“msconfig”，进入启动项管理，如果找不到运行，可以按键盘上的windows徽标小旗帜加 R 键，只留下杀毒软件进程，或者更彻底一些，你可以将所有的对勾都去掉。

第三步、删除木马病毒。

重新启动计算机按F8进入安全模式，逐个寻找在之一步中记录的病毒文件位置，逐个删除（特别提醒：删除有可能造成不测，请慎重，对文件要确认是高度嫌疑文件之后再删除），如果无法删除，可以尝试使用attrib命令在命令行去掉文件各种属性，然后就可以删除了。

第四步、善后工作。

1）、重新启动计算机，如果提示有什么文件找不到，进入注册表（regedit），查找这些文件名称，逐个清空。注意，不是删除相关的项目，而是清空和这些文件相关的项目，例如如果病毒文件绑架核心进程 explorer.exe 那么在注册表中就会在相关的explorer.exe后面加上病毒的名称，以随explorer的启动而自动启动，我们需要清除的是和病毒有关的内容，所以不能将explorer的值也清除掉，这样会造成无法见到桌面。

2）、进入启动项......

问题七：电脑中木马和病毒了，怎么办，还原系统可以吗？ 大多数情况还原了系统之后就可以把病毒清除掉，但是也不是所有情况，比如中毒文件不在C盘而是在其他盘附下，在你运行某些程序的时候有可能使机器再次感染。

关于还原的问题给你解释一下，还原必须是做了备份之后才可以的，当然有些系统盘在安装系统的时候自动的把系统在硬盘里做了备份，这样的系统就可以直接还原，如果你说的系统还原打不开，估计是装系统的时候没有备份或者备份出错，如果是这样的话你可以重装一下系统。

再给点建议吧，如果机器上存有重要的资料的话上网的时候一定要小心，不要打开陌生的链接，不要随便上一些无聊的网站。养成良好的上网习惯是避免中毒更好的 *** 哦。

问题八：我的电脑有一个木马病毒老杀不掉怎么办？ 病毒什么名字？肯定病毒还没杀完全，有的可以在安全模式下杀干净，有的是病毒加了壳，部分文件杀毒软件识别不出来！

我这里经常遇到的就是fsutk.dll和liprip.dll这两个总是存在的病毒~

其实重做系统也不是好 *** ，没准哪又感染上它了，你还重做吗？

……

没有提供足够信息，没法提供准确解决 *** 。

问题九：电脑中木马病毒了，怎么查杀？ 你好！

如果确认机子中了病毒，不要那么惊慌，首先你要确认中病毒的文件存在哪个盘，然后用杀毒软件进行全面的查杀，腾讯电脑管家基本可杀市面上出现的病毒，并且病毒库还在不断的更新中，完全可以帮你解决病毒的问题

首先我们在腾讯电脑管家官网下载腾讯安全管家，安装完成后打开，选择【杀毒】--【全盘查杀】

腾讯电脑管家企业平台：zhidao.baidu/c/guanjia/

问题十：木马病毒如何彻底清除？ 彻底清除trojan-downloader.win32.agent.bbb病毒前些天上网下载一个软件，下载后发现是exe格式的，有点怀疑的病毒。但是由于要得很急，所以也没杀毒就直接运行了，结果发现果然是一个流氓软件包。这个流氓软件包首先在你电脑里安装一个木马病毒，然后会不断地下载安装各类流氓软件到你的电脑上。做这个软件包的人真是太缺德了，会生个小孩都搞不好会没 *** 。先不骂这些人了，说正事。经过仔细检查发现，这个核心的木马就是trojan-downloader.win32.agent.bbb病毒。中了这个病毒后，我是这样清除的：1、用超级兔子清理自动安装的流氓软件。再清理注册表。2、用mcafee查毒，没发现病毒。改用奇虎的安全卫士360（我很不喜欢这个由周宏一这个老流氓投资开发的软件），但抱着死马当活马医的想法，还是试了一下。发现每次把由木马自动安装的流氓软件清理掉后，再起机又会重新安装，360对这个病毒也起不到什么作用。后来再改用卡巴斯基，发现可以删除大部分被木马程序安装的其他流氓软件和木马，就剩下trojan-downloader.win32.agent.bbb这个病毒删除不了。3、经过分析，发现这个病毒是写入到explorer进程的，核心是一个名为kumiq.dll的组件（这个组件的名字不一定，也可能你电脑上是别的名字），这个组件是在windows/system32目录下。由于被explorer调用，所以无法删除，因为explorer是随系统启动就会运行的，因而进入安全模式也没用。4、进到注册表(进入注册表 *** ：点“开始”＝》“运行”＝》键入“regedit“，点确定，然后按F3,把下面的这个键值名复制进去。在操作注册表的时候更好做一下备份，），把所有与这个名字（kumiq.dll)有关的项目全部删除，但经这么一番折腾后，发现起码不会再自动安装其他木马和流氓软件了（以前每次启动都会自动生成一个pvsec.dll的组件，并且进程里面有好几个木马的进程，这些全都被清理掉了）。5、下载一个叫做unlocker的软件，安装好后把kumiq.dll的调用进程杀掉，再删除这个组件（用其他所谓的文件粉碎机之类的东西是删不掉这顽固的病毒组件的）。6、重启后，再用卡巴斯基全面查一遍毒，防止残留。再用超级兔子清理一下注册表（因为清理掉了很多病毒组件，如果不清理注册表，开机会提示“***找不到组件”之类的，很烦人）。完工。8、总结：病毒虽然清理掉了，但是由于在手工删除注册表字段的时候下手太狠，可能把一些与病毒无关的也干掉了，所以重启后，个人设置以及其他程序的默认设置全部丢失。虽然后来手工把一些丢失的字段加了进去，解决了一部分问题，但总是会发现新的问题，系统不是很稳定。并且为了手工清除这个病毒，花了很长的时间，这个时间足够重新安装一遍系统了。我是为了顺便研究一下这个病毒，才没有选择重新安装的。所以大家如果是遇到这个病毒，我建议还是把要紧的资料备份一下，再重新安装一遍系统来得更快。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝由于trojan-downloader.win32.agent.bbb病毒会修改系统配置，可能一些组件的调用会写入到IE的一些配置程序里，而不是写入到注册表中。建议重新安装IE试试。to:qiujiu可能是你对unlocker的使用不太熟悉，简要介绍一下unlocker的使用 *** ：1、安装unlocker2、找到你要删除的文件，点右键，在右键菜单中选择unlocker选项。然后会......

如何杀病毒:木马程序 Trojan-PSW.Win32.OnLineGames.eq 文件: C:\DOCUME~1\new\LOCALS~1\Temp\wlzs.dll

Temp这个文件夹是系统和程序在运行时释放的临时文件。

1.说明这个dll文件是什么程序在运行时释放的

2.可能光清除这个dll文件也没有多大用处，因为在硬盘里别的地方的某个程序可能还会释放这个木马文件

从木马的名称来看，这是一个在线盗 *** 游戏密码的木马

建议你下载一个木马查杀类的软件（比如：木马杀客）到安全模式下去查杀一下