网络中胡作非为众多的木马盗取网络买卖账号、失掉用户私密消息以谋取利益，普通用户往往由于对木马不够了解和对安保防范麻木大意，形成重大的结果。许多人都有中木马的教训，那么中了木马怎样肃清，往常怎样防护，请看上方的文章。怎样判别中了木马病人：木马危害真实太大了，那我怎样知道自己的电脑中了木马呢？医生：电脑中了木马后，有时刻会有一些十分典型的症状，比如杀毒软件智能封锁、电脑运转速度变慢、经常有一些生疏网页窗口弹出、系统中某些程序不可运转等；也有时刻症状并不显著，不过咱们可以经过一些蛛丝马迹来初步剖析电脑能否中了木马，比如检查“义务治理器”能否有不相熟的进程（一旦发现则到网上启动搜检查能否是病毒程序），从系统文件夹、注册表、启动程序等检查能否有可疑的文件或名目。上方咱们以感化了近期比拟生动的SoundMan木马的电脑为例来了解一下木马的一些经常出现行为。小知识：SoundMan木马SoundMan木马是应用Realtek声卡关系程序以及图标蛊惑用户的一款“网游木马下载器”，它除了具有普通木马能够屏蔽显示暗藏文件的配置外，还可以用交流服务等形式启动自身，并具有完结杀毒软件和在后盾下载少量网游木马的配置。1.暗藏文件曾经不可显示关上一个文件夹，在上方菜单当选用“工具/文件夹选项”，在“检查”中勾选“显示一切文件和文件夹”，并去掉“暗藏已知文件类型的裁减名”前面的勾。WWw.iTcoMpuTeR.COm.cn经过这样的操作后，暗藏文件还是不可显示。

揭示：一旦发现设置了“显示一切文件和文件夹”，而系统仍不可显示暗藏文件的话，必定要惹起足够的注重，极有或者有木马入侵。2.检查System32文件夹进入System32文件夹中（假定Windows XP装置在C盘），可以发现木马创立了ineters.exe、SoundMan.exe、tthh3.ini这三个文件（编注：之前咱们曾经对显示暗藏文件做了处置）。揭示：木马普通会在系统文件夹System32中监禁病毒文件以及关系的ini文件，假设疑心中了木马，留意审核此文件夹中那些在产生中毒症状前后所创立的文件。3.检查用户账户单击“开局/设置/控制面板”，双击“用户账户”，假设发现电脑中的Guest账户无端被激活，或是多出其它的生疏账号，例如名为Microsoft的账户，也要提高警觉，这也是感化木马的一个典型特色。4.检查auto文件当系统中了SoundMan.exe木马后，只需有新的可移动存储接入，此木马便会写入auto.exe和autorun.inf 文件，所以咱们在鼠标右键菜单中发现有auto、autorun任何一个选项，或是在移动硬盘或闪存根目录下检查发现auto.exe和autorun.inf 这两个文件，则证实中毒。揭示：如今的木马普通都会应用移动存储设置的智能播放配置启动病毒的写入和流传，所以假设在硬盘分区以及移动存储设施根目录下发现auto.exe和autorun.inf 这两个文件，则电脑与移动硬盘都曾经中毒。除了审核上方那些中央外，咱们还可以从以下几个木马青睐青睐藏身的中央来查找蛛丝马迹。一是从“Win.ini”文件判别能否中毒。应用记事本关上“C:\Windows”目录下的Win.ini文件。在文件的[windows]字段中查找启动命令“load=”和“run=”前面能否跟有程序，在普通状况下“=”前面是空白的，假设在“＝”号前面跟着程序（图2），那普通是中了木马病毒。二是从“System.ini”文件判别能否中毒。应用记事本形式关上位于“C:\Windows”目录下的“System.ini”文件，假设发现[boot]字段中“shell=Explorer.exe”后减少了程序，普通都是木马服务端程序。另外，在System.ini中的[386Enh]字段，要留意审核在此段内的“driver=门路\程序名”，这里也有或者被木马所应用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，它们起到加载驱动程序的作用，但也是减少木马程序的好场合，所以也须要启动审核。三是关上注册表编辑器启动查找。木马普通会应用注册表中的Run、RunServices、RunOnce等子项来加载，在“开局”/“运转”中输入“regedit”进入注册表编辑器，在以下几个中央启动检查。（1）注册表中的启动项检查“HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion”下的RunServices、RunServices Once、Run、RunOnce以及 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion”下的RunServices、Run、RunOnce下能否有可疑名目。假设发现其中加载了一些生疏程序到系统文件夹中，那么则或者中了木马病毒。（2）文件关联键有些木马还会经过修正注册表中的某一类型文件的键值来加载程序。审核“HKEY_CLASSES_ROOT\XXX（编注：这里的XXX可以是exefile、comfile、batfile、htafile、piffile）\shell\open\command”子键中“自动”值：““%1” %*”；审核“HKEY_LOCAL_MACHINE\Software\CLASSES\ XXX（编注：这里的XXX可以是exefile、comfile、batfile、htafile、piffile）\shell\open\command”子键中“自动”值：““%1” %*”。这些“%1 %*”可以被赋值，假设发现自动值被修正，例如病毒木马将其改为“muma.exe %1 %*”，则或者中毒。横扫网络木马病人：我曾经中了木马，应当怎样肃清？医生：假设电脑系统分区中没有关键数据，那么应用备份及一键恢复间接从新恢复系统是最便捷的方法。假设不可这样做，可以用一些工具软件来帮助清算木马。目前很多木马病毒，譬如本例中的SoundMan.exe能够删除安保软件的启动名目、劫持安保/杀毒软件，并且衔接网络下载其它木马及病毒。所以首先要做的就是删除注册表的启动项、修复被劫持的杀毒软件/安保软件，而后应用杀毒软件或专杀工具来肃清木马。下载SREng软件并更改称号运转，首先对注册表中的RUN键启动修复，选用“系统修复”选项中的“注册表”选项卡，删除未知的启动名目，比如门路为系统文件夹（C:\win dows\system32或C:\winnt\system32）中的Sound Man.exe木马病毒程序启动项（图3）。揭示：除了“注册表”启动项外，咱们最好进入 “启动名目”中的“Win.ini”、“System.ini”等选项中启动检查并肃清关系联的病毒加载项，免得病毒死灰复燃。而后再选用“系统修复”中的“文件关联”选项，勾选失误的文件关联，单击“修复”按钮，修复被木马病毒劫持的程序，包含杀毒软件和一些安保工具等。为了防止激活木马，在“系统修复”的“初级修复”选项中单击下方“修复安保形式”对电脑安保形式启动修复，最后进入到安保形式下启动杀毒软件病毒库的更新及病毒查杀，同时下载木马病毒的专杀工具对木马及病毒启动扫描肃清。揭示：除了应用SREng软件启动修复 ，咱们还可以应用小工具包来启动系统修复，小工具包在电脑报网站启动下载，关上工具包后，双击恢复显示暗藏文件.REG导入注册表，再关上Icesword软件，肃清系统文件夹中的病毒文件、经常使用IFEO映像劫持修停工具修复被劫持的杀毒软件及安保软件，最后就是用杀毒软件启动查杀。小工具下载上去后改名后再经常使用，免得被木马病毒劫持。如何预防木马病人：木马只管曾经肃清了，然而我怎样防止以后电脑再被木马侵袭呢？医生：为了更好的包全系统不遭到破坏，打好咱们的网游账号捍卫战，除了为一个齐全洁净无毒系统做个备份，咱们还可以经过以下的方法来启动网游木马的预防。1.必定装置杀毒软件及防火墙，并对其启动更新，相应系统补丁也要随时更新，还要活期启动病毒木马扫描。2.装置游戏账号包全软件目前有很多专门针对网游账号包全的安保工具，它们采取的原理不同，但对游戏账号都有必定的包全作用，条件准许的状况下可装置这样的包全软件。如何选用，可参考本期F7版的评测。3.经过注册表设置，阻止病毒经过IFEO劫持杀毒软件，详细操作方法：单击“开局”→“运转”，在命令行中输入regedt32，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options，右键单击此选项，在弹出的菜单当选用“权限”，而后把Administrors用户组和Users用户组的权限所有敞开。

应用注册表限度IFEO的读写权限

总结养成安保的电脑操作习气＋严密的安保设置＋活期审核这三大强效药剂，咱们齐全可以让病毒木马远离自己的电脑系统，玩网络游戏时再也不用担忧和木马亲密接触！然而由于杀毒软件以及安保工具的设置及经常使用须要必定的电脑基础，整个木马产业链由于缺少关系法律有效的监控而开展的越来越大，造成许多对电脑安保设置不相熟的用户遭逢木马侵袭围歼，用户的私密消息一旦被不法分子把握，将会给用户形成重大的结果。咱们呐喊除了电脑用户增强自身的电脑安保看法和技艺外，还须要国度法律以及网络监管部门一同携手，独特打造一个安保的网络环境！

病人：我是一名网管，最近在网吧下班时碰到一件烦心事。网吧里的电脑经常一次性性感化七八种病毒（审核发现，关键有“cmdbc木马”、“AVPSrv”、“Torjan.Diskman”等），肃清后不用多久又会智能生成，就像牛皮癣一样。咱们网吧的电脑可都是装有恢复卡的啊，怎样还会感化病毒呢？医生：依据你的形容，这应该是近段期间比拟盛行的“机器狗”病毒，这种病毒相似于“下载者”，会将少量的木马和病毒下载到你的电脑中，其下载的木马关键就是你刚才提到的那几种病毒。最关键的是，“机器狗”病毒是目前对恢复软件、恢复卡破坏才干最强的病毒。“机器狗”目前可以破坏冰点恢复、影子系统等恢复软件，还能破坏三茗、小哨兵等配件恢复卡。被破坏的恢复卡会失去作用，让系统彻底泄露在病毒下。“机器狗”怎样打破恢复卡病人：谢谢医生的解答，我如今对这个“机器狗”病毒有点了解了，可我还想知道它是怎样破解恢复卡的？医生：“机器狗”的运作流程并不复杂，比起熊猫烧香、AV终结者来说要便捷不少。运转后首先会交流系统的Userinit.exe文件，Userinit.exe是Windows操作系统的一个关键进程，用于治理不同的启动顺序，例如用于建设网络链接和Windows壳的启动。病毒应用Userinit.exe的目标是成功隐蔽启动。接着在Windows\system32\drivers文件夹中生成一个名为Pcihdd.sys的驱动文件，病毒正是借助这个驱动文件来成功恢复软件和恢复卡破解的。咱们知道恢复软件和恢复卡之所以能够包全硬盘数据，是由于它具有很高的权限，能够攫取硬盘的控制权，在系统启动之前，将硬盘中的数据恢复。而Pcihdd.sys这个文件会和恢复软件或恢复卡争夺硬盘的控制权，大局部恢复软件和恢复卡的控制权都会被Pcihdd.sys攫取，它们就失去了恢双数据的才干，这样病毒就可以避开恢复卡在硬盘中安营扎寨了。

彻底肃清“机器狗”病毒病人：“机器狗”果真是一个难缠的病毒，尤其是像我这样的网吧治理员，刚处置了烦人的“熊猫烧香”，如今来了个更狠的，真是不胜其烦。请问我该如何肃清“机器狗”病毒？医生：肃清“机器狗”的方法比拟便捷，操作步骤如下：第一步：用反常的Userinit.exe文件交流被修正的Userinit.exe文件。首先新建一个记事本，输入如下内容：@echo offtaskkill /f /im userinit.exedel userinit.exe /f/q/a将这个记事本文件保留为kill.bat，双击运转。而后从其余洁净的电脑中拷贝一份Userinit.exe文件，将它放到system32目录中。第二步：删除pcihdd.sys文件，该文件位于Windows\system32\drivers文件夹中。用记事本关上位于Windows\system32\drivers\etc的HOSTS文件，在最后减少这样一行：127.0.0.1 www.tomwg.com，修正完后保留文件。第三步：用《360安捍卫士》配合杀毒软件肃清系统中残留的盗号木马病毒。第四步：为了更好地预防“机器狗”病毒，咱们可以用批处置将Pcihdd.sys 的文件夹设置为制止修正。批处置关键代码如下：md %systemroot%\system32\drivers\pcihdd.syscacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:ncacls %systemroot%\system32\userinit.exe /e /p everyone:r

总结恢复卡和恢复软件并不是万能的，假设仅宿愿依托它们来防止中毒不太事实。这段期间病毒技术开展得较快，网管和普通用户必定要多加关注，以把握最新病毒的肃清方法。

俗话说：“人在河边走，哪有不湿鞋”，在经常使用电脑的环节中，总是会遇到这样那样的疑问，须要重装操作系统。咱们知道重装操作系统，以前的系统设置都将隐没。当然杀毒软件也得重装，并且以前的病毒库也须要从新更新。大家都知道更性病毒库须要很长期间，不过咱们可以事前将病毒库备份一下。这里咱们就以经常出现的瑞星杀毒软件为例。运转瑞星杀毒软件，点击在菜单栏下的“工具列表”，而后在“工具列表”中找到“瑞星装置包制造程序”，接着点击左边的“运转”，如图所示。

选用运转后，会弹出一个“瑞星装置包制造程序”窗口揭示设置一个装置包保留门路，咱们可以经过“阅读”设置一个保留门路。接着点击“下一步”，瑞星便会智能启动装置包的制造，稍等片刻便会制造终了。以后经常使用这个装置包装置，软件就是备份时的形态！其余的杀毒软件病毒库备份方法都与此相似，大家可以自行探索。