什么木马病毒只感染文件夹（木马病毒只存在于文件中吗）

本文目录一览：

• 1、谁知道Trojan/Win32是什么病毒？
• 2、高手看看,这些是什么木马病毒,还会复生吗??
• 3、什么是木马，什么是木马病毒 什么是木马病毒
• 4、什么是木马病毒
• 5、什么是木马病毒?
• 6、木马只会感染隐藏在系统文件么?会不会感染其他文件?

谁知道Trojan/Win32是什么病毒？

Trojan/Win32是特洛伊微软系统32位木马病毒，是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。

黑客用Trojan/Win32来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳制作，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。

与病毒相似，木马程序有很强的隐秘性，随操作系统启动而启动。2009年1月7日，64-bit的Windows 7 Beta（组建7000）被泄漏到网络上，并在不少的torrent文件中附带了特洛伊木马病毒。

扩展资料

Trojan/Win32是特洛伊木马病毒的特征

特洛伊木马不经计算机用户准许就可获得计算机的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区。

之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作；或浏览器自动连往奇怪或特定的网页。

参考资料来源：百度百科—Trojan.Win32

参考资料来源：百度百科—特洛伊病毒Win32.Cutwail.GI

高手看看,这些是什么木马病毒,还会复生吗??

这个木马替换了C:\WINDOWS\system32\notepad.exe

并切不让恢复，木马（特洛伊木马），也称为后门，英文叫做“Trojan house”，其名称取自希腊神话的《特洛伊木马记》，它是一种基于远程控制的黑客工具，木马的特性一般有：①包含于正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性②具有自动运行性③具有自动恢复功能。④能自动打开特别的端口。⑤包含具有未公开且可能产生危险后果的功能和程序。木马一般有两个程序组成：一个是服务器程序，一个是控制器程序。当你的计算机运行了服务器后，恶意攻击者可以使用控制器程序进入你的计算机，通过指挥服务器程序达到控制你的计算机的目的。黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能。

木马的种类：①远程控制木马。例如冰河②密码发送木马。例如 QQ 木马③键盘记录木马。一般的木马都具有这功能④破坏性质的木马。⑤代理木马。在肉鸡上作跳板的木马。⑥FTP 木马⑦反弹端口型木马。简单来说就是反防火墙的木马，例如网络神偷⑧dll 木马。这是现在最新出来的采用进程插入技术的木马，是最难对付的木马之一。⑨综合型。

想不中木马，先要了解木马植入的惯用伎俩（很多病毒的传播也是利用同样的手段，因为木马也算是病毒的一种）：

1. 邮件传播：木马很可能会被放在邮箱的附件里发给你，当你在没采取任何措施的情况下下载运行了它，即便中了木马。因此对于带有附件的邮件，你最好不要下载运行，尤其是附件名为*.exe的，并且请养成用杀毒软件扫描附件的习惯。

2. QQ传播：因为QQ有文件传输功能，所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起，然后骗你说是一个好玩的东东或者是PLMM的照片，你接受后运行的话，你就成了木马的牺牲品了。

3. 下载传播：在一些个人网站或论坛下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。在解压缩安装之前也请养成对下好的软件进行病毒扫描的习惯。

在这里提醒一下，若被杀毒软件扫描到有病毒请立即清除。不要以为不运行这些带木马的文件就可以了，下面这种木马植入方法专门用来对付有此想法的人。

4. 修改文件关联。这是木马最常用的手段之一，比方说正常情况下txt文件的打开方式为Notepad.exe（记事本），攻击者可以把txt文件打开方式修改为用木马程序打开，这样一旦你双击一个txt文件，原本应用记事本打开的，现在却变成启动木马程序了！当然，不仅仅是txt文件，其它诸如htm、exe、zip、com等都是木马的目标。对付文件关联木马，只能检查“HKEY_CLASSES_ROOT\文件类型\shell\open\command”这个子键，查看其键值是否正常。

5. 直接运行植入。一般是利用系统漏洞把配置好的木马在目标主机上运行就完成了。有关系统安全策略后文会作进一步的讲解。

6. 网页植入。现在比较流行的种植木马方法，也是黑客们惯用的无形杀手，即所谓的网页木马。经常上网的朋友是不是发现在浏览网页的时候，浏览器动不动就会弹出几个提示窗口，其中看见最多的就数3721的提示窗口了。这些窗口的源代码中包含了ActiveX控件，如果不安装里面的控件，以后仍然会出现这种窗口，并且网页的功能就不能实现了。利用这一点，可以制作一个ActiveX控件，放在网页里面，只要用户选择了安装，就会自动从服务器上下载一个木马程序并运行，这样就达到植入木马的目的了。按此方法制作的木马对任何版本的IE都有效，但是在打开网页的时候弹出对话框要用户确定是否安装，只要用户不安装，黑客们就以点办法也没有了。所以当上网的时候弹出对话框询问是否安装某软件或插件，请务必看清楚此消息的来源站点。若是知名网站根据实际需要选择是否安装，若是比较少见或没见过的网址甚至根本看不到网址请毫不犹豫的点击“否”并关闭该窗口。另一类木马主要是利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的木马会悄悄地运行。对于DATA所标记的URL，IE会根据服务器返回HTTP头中的Content－Type来处理数据，也就是说如果HTTP头中返回的是appication/hta等，那么该文件就能够执行，而不管IE的安全级别有多高。如果恶意攻击者把该文件换成木马，并修改其中ftp服务器的地址和文件名，将其改为他们的ftp服务器地址和服务器上木马程序的路径。那么当别人浏览该网页时，会出现“Internet Explorer脚本错误”的错误信息，询问是否继续在该页面上运行脚本错误，当点击“是”便会自动下载并运行木马。以上两种网页木马都会弹出安全提示框，因此不够隐蔽，遇到此情况只要看清消息来源的站点，再视情况判断有没必要点击“是”。还有一种网页木马是直接在网页的源代码中插入木马代码，只要对方打开这个网页就会中上木马，而他对此还是一无所知。在这里提醒各位网民，对于从未见过的URL（通常都是个人网站/论坛），最好不要访问。

那么怎样判断自己的电脑是否中了木马，中了木马时有什幺现象？很难说，因为它们发作时的情况多种多样。

但是如果你的计算器有以下表现，就很可能染上黑客病毒了。

计算器有时死机，有时又重新激活；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多。（可是，有一些程序是不会出现在这个列表里的。懂得编程的朋友应该知道这不难做到，借助PVIEW95就可以看到）。特别是在连入Internet网或是局域网后，如果你的机器有这些现象，就应小心了，当然也有可能是一些其它的病毒在作怪。由于木马程序的破坏通常需要里应外合，大多数的木马不如病毒般可怕。即使运行了，也不一定会对你的机器造成危害。不过，潜在的危害还是有的。比如，你的上网密码有可能已经跑到别人的收件箱里了！

我们也可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256*256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客也是通过端口进入你的电脑。因此，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍：

①Windows本身自带的netstat命令

此命令是显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

-a显示所有连接和侦听端口。服务器连接通常不显示。

-e显示以太网统计。该参数可以与 -s 选项结合使用。

-n以数字格式显示地址和端口号（而不是尝试查找名称）。

-s显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。

-p protocol显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

-r显示路由表的内容。

interval重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。

如果发现有异常的端口出现，就有可能是木马常用的端口被占用。立即断开网络，用病毒库升级到最新的杀毒软件查杀病毒。

②工作在windows2000下的命令行工具fport

Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子：

D:\fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

Pid Process Port Proto Path

748 tcpsvcs - 7 TCP C:\WINNT\System32\ tcpsvcs.exe

748 tcpsvcs - 9 TCP C:\WINNT\System32\tcpsvcs.exe

748 tcpsvcs - 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost - 135 TCP C:\WINNT\system32\svchost.exe

利用此命令，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意，也许那就是一只狡猾的木马！

③与Fport功能类似的图形化界面工具Active Ports

Active Ports为SmartLine出品，你可以用来监视电脑所有打开的TCP/IP/UDP端口，不但可以将你所有的端口显示出来，还显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动，而且它还提供了一个关闭端口的功能，在你用它发现木马开放的端口时，可以立即将端口关闭。

利用查看本机开放端口，以及端口和进程对应关系的方法，可以轻松的发现基于TCP/UDP协议的木马。一般中了木马程序最简单的办法就是用杀毒软件清除，如金山毒霸等。现在的杀毒程序能查杀大部分木马，当然也有一部分查杀不了的木马。这时就需要手动清除。要想手工清除，首先需要了解一下木马通常喜欢隐藏在哪里，并自动加载。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动。木马会在计算机启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，木马都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

①win.ini 中启动 ：在 win.ini 文件中，在 [WINDOWS] 下面， “run=” 和 “load=” 是可能加载 “ 木马 ” 程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上 “ 木马 ” 了。当然你也得看清楚，因为好多 “ 木马 ” ，如 “AOL Trojan 木马 ” ，它把自身伪装成 command.exe 文件，如果不注意可能不会发现它不是真正的系统启动文件。

②system.ini 中启动 ：在 system.ini 文件中，在 [BOOT] 下面有个 “shell= 文件名 ” 。正确的文件名应该是 “explorer.exe” ，如果不是 “explorer.exe” ，而是 “shell= explorer.exe 程序名 ” ，那么后面跟着的那个程序就是 “ 木马 ” 程序，就是说你已经中 “ 木马 ” 了。

③利用注册表加载运行 ：在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

④隐形于启动组中 ： C:\windows\start menu\programs\startup ，在注册表中的位置： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"( 一般来说机率比较少 )

⑤隐蔽在 Winstart.bat 中 ：按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不， Winstart.bat 也是一个能自动被 Windows 加载运行的文件，它多数情况下为应用程序及 Windows 自动生成，在执行了 Win.com 并加载了多数驱动程序之后开始执行（这一点可通过启动时按 F8 键再选逐步跟踪启动过程的启动方式可得知）。由于 Autoexec.bat 的功能可以由 Winstart.bat 代替完成，因此木马完全可以像在 Autoexec.bat 中那样被加载运行，危险由此而来。

⑥在 Autoexec.bat 和 Config.sys 中加载运行

⑦通过文件关联启动 ：此类木马上文已讲，在这里不再

⑧比较新的木马启动技术就是利用 dll 嵌入技术，把木马嵌进正常使用程序进程里，手工很难清理。这种木马不使用进程，而使用Windows系统中的另一种“可执行程序”——dll（应用程序扩展），这样我们就不能通过Windows的进程管理器来发现这种木马了，但是我们可以借助第三方软件（Windows优化大师的进程管理）来找到木马使用的dll文件，找到后到DOS下删除。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

（五）病毒防杀

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

计算机病毒可根据感染形态进行分类，大致可分为以下几种：

① 引导型病毒：引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。由于现代计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表（FAT表）等，一旦发作，计算机的数据通常会全部丢失。这种类型病毒的清除也很简单，不管是什么名字的病毒，只要是引导型的，用干净的软盘（即不含病毒的启动软盘，注意：一定要关闭软盘的写保护，不允许对软盘进行写入操作）启动系统，然后重写硬盘的引导扇区即可清除。由于该类病毒的清除和发现很容易，所以这类病毒都属于很老的了，现在基本上已经灭绝。

② 文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件（如：*.COM、*.EXE、*.DLL等）中。当这些文件被执行时，病毒的程序就跟着被执行。文件型病毒依传染方式的不同，又分为非常驻型以及常驻内存型两种。非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是*.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。由于病毒一直常驻内存，所以此时用杀毒软件进行杀毒，存在“带毒杀毒”的问题，通常不易杀干净。一般需要用干净的系统引导盘启动系统后，再进行杀毒才彻底。

③ 复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.COM、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。由于这个特性，使得这种病毒具有很强的传染力，一旦发病，破坏程度也会非常强。

④ 变型病毒：又称幽灵病毒，这一类病毒使用一个复杂的算法，使自己每传播一次都具有不同的内容和长度。一般的做法是：病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。病毒之所以费尽心机进行自身代码的变化，主要原因是为了躲避杀毒软件对其病毒特征代码的扫描，以避免被杀毒软件清除。

⑤ 宏病毒：宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。所谓的宏，就是一段脚本程序，由于Word、Excel等软件在处理文档时，为了使程序更智能化地按人的意愿工作，允许在Word中加一些VBS程序，这给宏病毒提供了滋生的土壤，宏病毒就是用这些VBS程序书写的程序。

⑥ 网页病毒：网页病毒主要利用系统软件的安全漏洞，通过执行嵌入在网页HTML语言内的Jave Applet程序、JavaScript脚本程序、VBS脚本程序和ActiveX部件等可自动执行的程序，强行修改操作系统的注册表和系统配置，或非法控制系统资源，盗取用户文件。这种非法恶意程序能够自动执行，它完全不受用户的控制。你一旦浏览含有该病毒的网页，便可以在不知不觉的情况下中招，给系统带来不同程度的破坏。轻则消耗系统资源，使系统运行速度缓慢，直至重启；重则删除硬盘数据，甚至格式化硬盘。网页病毒发作通常有两种表现形式：一种是修改浏览器和注册表的各种设置，比如：IE的默认首页被修改，标题栏被添加非法信息，注册表被禁止打开等。另一种则是恶性结果，比如：开机出现对话框，格式化硬盘，全方位侵害封杀系统，最后导致瘫痪崩溃，非法读取或盗取用户文件等。网页病毒的预防通常是先打上IE补丁。接下来有两种方法：一是利用IE自身的设置进行预防，使浏览器自身不执行网页上的脚本程序，或屏蔽某些恶性网站。在IE6的internet选项的“常规”选项卡中，先选中某一网站区域，再点击“自定义级别”即可对IE6浏览器能执行的脚本程序进行限制。要注意的是：禁用IE的JS、VBS等脚本程序的运行后，很多网页特效就没办法显示了；另一种办法，就是使用病毒防火墙，或者直接用第三方IE保护软件来保护。

⑦ “蠕虫”型病毒：顾名思义，计算机蠕虫指的是某些恶性程序代码，会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机进行感染。一般来说蠕虫能感染文件，对自身进行复制，消耗系统资源。在互联网环境下，蠕虫病毒变得非常猖獗，它靠复制自己来传播，如果你不对蠕虫的传播渠道进行控制（如操作系统的漏洞、文件共享的权限等），即使你不执行任何外来文件，也会被感染。现在的病毒一般都是既能够感染文件，又可以像蠕虫那样到处爬动（无非就是通过E－mail、共享文件夹、感染HTML代码，然后就是寻找漏洞获得写权限等等），因此，未来能够给网络带来重大灾难的，必定将是网络蠕虫病毒。

⑧ 木马病毒。木马和蠕虫之间，有某种程度上的依附关系，越来越多的病毒同时具有木马和蠕虫两者的特点。

在病毒日益猖獗的今天，安装杀毒软件和防火墙是最基本的措施。同时建议至少每周更新一次病毒库。

从目前发现的病毒来看，计算机感染病毒后的主要症状有：

1：由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来，磁盘坏簇莫名其妙地增多。

2：由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量加大。

3：由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。

4：由于病毒程序本身或其复制品不断入侵占系统空间，使可用系统空间变小。

5：由于病毒程序的异常活动，造成异常的磁盘访问。

6：由于病毒程序附加或占用引导部分，使系统引导变慢。

7：丢失数据和程序。

8：中断向量发生变化。

9：打印出现问题。

10：死机现象增多。

11：生成不可见的表格文件或特定文件。

12：系统出现异常活动。

13：出现一些无意义的画面问候语等。

14：程序运行出现异常现象或不合理的结果。

15：磁盘卷标名发生变化。

16：系统不认识磁盘或硬盘，不能引导系统等。

17：在系统内装有汉字库正常的情况下不能调用汉字库或不能打印汉字。

18：在使用没有写保护的软件的软盘时屏幕上出现软盘写保护的提示。

19：异常要求用户输入口令。

你想尝试一下中病毒的滋味的话可去下载病毒感染模拟器。

若你的计算机发生以上状况，千万不要迟疑，遵循以下步骤处理：

1：立刻断开网络。

2：找“决对干净”的DOS系统磁盘启动计算机。这时，记得要关上这张磁盘个写保护。

3：用杀毒软件开始扫描病毒。

4：若侦测到是文件中毒时，则有三种方试处理：删除文件、重命名文件或是请除病毒。记住：千万不要对中毒文件置之不理，特别是不能让其停留在可执行文件中。

5：若侦测到的是硬盘分区或引导区的病毒时，则你可以用干净的DOS磁盘中的FDISK指令，执行FDISK/MBR命令，以恢复硬盘的引导信息；或是在A驱中执行A:/SYS C:（C:为中毒磁盘），以救回硬盘引导区的资料。

6：现在，可以重新建文件、重新安装软件或 ，准备备份资料，请切记，备份资料在重新导入系统前，应先进行扫描，以防万一。

7：千万记住，重新建文档到开始运行之前。应再次扫描整个系统，以免中毒文件不小心又被存入系统中。

8：现在可以安心的开始操作计算机了。

（六）Windows系统安全隐患

许多系统都会有这样那样的安全漏洞（Bugs），其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击、Windows98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；另一些是利用协议漏洞进行攻击，如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏根目录，从而获得超级用户的权限；还有一些漏洞是由于系统管理员配置错误或疏忽引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码以明码方式存放在某一目录下，这都会给黑客带来可乘之机。

防范措施：①个人用户推荐使用Windows XP Professional。这个号称Windows家族最稳定的操作系统，基于NT内核的融合，与以前的各版本相比具有更加安全和更加保密的安全特性，它对系统安全性所做的改善，大大加强了用户建立安全、保密的系统环境的系数。②及时给系统打补丁。可以使用Windows自带的“Windows update”，建议至少每周更新一次，并多留意下官方网站的安全公告。③安装杀毒软件和防火墙。强烈建议至少每周对其更新一次。

另外我们也应充分利用Windows XP的安全特性进行一些必要的安全配置：①使用XP自带的免费Internet连接防火墙。②利用Windows XP内置的IE6.0来保护个人隐私。我们可以在IE6.0中定义透露个人信息的具体参数选项，浏览器会在用户上网时，自动判断所访问的站点的安全、可信等级，根据预先设定的隐私参数，来限制信息方面的流通。③利用加密文件系统（EFS）加密。在Windows XP中EFS使用扩展数据加密标准作为加密算法，EFS自动地为用户生成一对密钥和证书，并在利用了CryptoAPI结构的情况下以公钥加密为基础。加密后的文件夹将限制、识别用户是否属于非法访问，只有对这个文件进行加密的用户可以打开这个文件并使用它。要对文件进行加密，首先你得有NTFS分区，然后右击要加密的文件夹，在弹出的文件夹属性的“常规”栏里依次选择“高级”→“加密内容以便保护数据”→“确定”→“将更改应用于该文件夹、子文件夹和文件”→“确定”，这样，该文件夹、子文件夹及文件都已加密。需要注意的是当对文件夹进行了加密后，一定要制作备份密钥，以防万一。④屏蔽不需要的服务组件。XP众多的服务使用户享受到了前所未有的服务，但是出于种种原因，用户能真正在日常用到的组件还是为数不多，这就造成了很到的系统资源浪费和一定的安全隐患，甚至黑客们还会据此尝试一些入侵，所以屏蔽一些暂时还不需要的服务组件是安全设置中的一个重要部分。⑤管理好?/div

什么是木马，什么是木马病毒 什么是木马病毒

木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!

随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。

因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。

在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车，再输入cd C:\Windows\System32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令:dir *.exeexebackup.txt dir *.dlldllbackup.txt回车。

这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行 CMD—fc exebackup.txt exebackup1.txtdifferent.txt fc dllbackup.txt dllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到 different.txt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

没有是最好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。

最后，防治木马的危害，专家建议大家应采取以下措施:

第一，安装反病毒软件和个人防火墙，并及时升级。

第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

第三，使用安全性比较好的浏览器和电子邮件客户端工具。

第四，操作系统的补丁要经常进行更新。

第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。

相信大家只要做好安全防护工作，防治木马并不是那么可怕的。

什么是木马病毒

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

什么是木马病毒?

木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

[编辑本段]木马的种类

1. 网络游戏木马

随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。

2. 网银木马

网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。

网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技术干扰网银登录安全控件的运行。

随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。

3. 即时通讯软件木马

现在，国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种：

a、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网址，其主要功能是盗取传奇游戏的帐号和密码。

b、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，或将帐号卖掉。

c、传播自身型。2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播，感染用户数量极大，在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析，发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化，采用的基本技术都是搜寻到聊天窗口后，对聊天窗口进行控制，来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。

4. 网页点击类木马

网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单，一般只是向服务器发送HTTP GET请求。

5. 下载类木马

这种木马程序的体积一般很小，其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小，下载类木马更容易传播，传播速度也更快。通常功能强大、体积也很大的后门类病毒，如“灰鸽子”、“黑洞”等，传播时都单独编写一个小巧的下载型木马，用户中毒后会把后门主程序下载到本机运行。

6. 代理类木马

用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。

首先找到感染文件,其手动方法是结束相关进程然后删除文件,但是现在有很多木马专杀的软件.可以借助软件删除。

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能。

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度呢? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

木马病毒的危害：

1、盗取我们的网游账号，威胁我们的虚拟财产的安全。

木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。

2、盗取我们的网银信息，威胁我们的真实财产的安全。

木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给黑客，直接导致我们的经济损失。

3、利用即时通讯软件盗取我们的身份，传播木马病毒。

中了此类木马病毒后，可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性。如恶作剧等。

4、给我们的电脑打开后门，使我们的电脑可能被黑客控制。

如灰鸽子木马等。当我们中了此类木马后，我们的电脑就可能沦为肉鸡，成为黑客手中的工具。

[编辑本段]如何防御木马病毒？

木马查杀（查杀软件很多，有些病毒软件都能杀木马）

防火墙（分硬件和软件）家里面的就用软件好了

如果是公司或其他地方就硬件和软件一起用

基本能防御大部分木马，但是现在的软件都不是万能的，是不？还要学点专业知识，有了这些，你的电脑就安全多了

现在高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），如果你都做到了，木马，病毒。就不容易进入你的电脑了。

[编辑本段]如何查出木马的一些方法

在使用目前常见的木马查杀软件及杀软件的同时，系统自带的一些基本命令也可以发现木马病毒：

一、检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

二、禁用不明服务

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

三、轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!

联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。

[编辑本段]如何删除木马病毒 ？

1、禁用系统还原（Windows Me/XP）

如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。

注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设置。

2、将计算机重启到安全模式或者 VGA 模式

关闭计算机，等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式

Windows 95/98/Me/2000/XP 用户：将计算机重启到安全模式。所有 Windows 32-bit 作系统，除了Windows NT，可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。

Windows NT 4 用户：将计算机重启到 VGA 模式。

扫描和删除受感染文件启动防病毒程序，并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染，请单击“删除”。如有必要，清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的，请执行以下步骤：

启动 Internet Explorer。单击“工具”“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中，单击“删除文件”，然后在出现提示后单击“确定”。在“历史”部分，单击“清除历史”，然后在出现提示后单击“是”。

3、关于病毒的危害，Download.Trojan会 执行以下操作：

进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。

完成下载后，特洛伊木马程序将执行它们。

中了木马不能打开杀毒软件可以用360安全卫士安全启动来先修复一下

[编辑本段]木马病毒最爱藏身的几个地方

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招。

1、集成到程序中

其实木马也是一个服务器――客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中

木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心。

3、潜伏在Win.ini中

木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c：windowsfile. Exeload=c：windowsfile.exe。这时你就要小心了，这个file.exe很可能是木马。

4、伪装在普通文件中

这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本——在程序中把图标改成Windows的默认图片图标，再把文件名改为*.jpg.exe，由于Win98默认设置是“不显示已知的文件后缀名”，文件将会显示为*.jpg，不注意的人一点这个图标就中木马了（如果你在程序中嵌一张图片就更完美了）。 `

5、内置到注册表中

上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值； HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值； HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值。

6、在System.ini中藏身

木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exefile.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里。

7、隐形于启动组中

有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。启动组对应的文件夹为：

C：windowsstartmenuprogramsstartup

在注册表中的位置：

HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerShellFoldersStartup= “C：windowsstartmenuprogramsstartup”

要注意经常检查启动组。

8、隐蔽在Winstart.bat中

按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

9、捆绑在启动文件中

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

10、设置在超级连接中

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它。

木马只会感染隐藏在系统文件么?会不会感染其他文件?

一般来说木马程序不会感染其他文件的，不过建议您使用腾讯电脑管家杀毒软件，全面的查杀病毒程序，现在的病毒木马每天都有无数的变种出现，传统的木马收集方法已远远无法跟上木马更新的速度。腾讯电脑管家采用最新的木马云查杀技术，在后台建立了强大的流行木马分析和处理系统，只要一个用户提交了可疑文件，就可以第一时间内提取出其中的木马病毒等危险样本，这将帮助全部的腾讯电脑管家用户查杀最新的流行木马

希望可以帮到您了