木马的检测、清除及其预防(一)启动.doc

木马的检测、清除及其预防（一）启动在使用计算机的过程中您可能遇到过如下情况: 计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁……这些不正常现象表明: 您的计算机中了木马病毒。 　　 　　木马的全称是“特洛依木马”，它们一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在去年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。著名的“红色代码”和“坏透了”病毒都属于木马病毒。木马是一种破坏力十分强的黑客工具，那么如何检测木马的存在，并彻底清除它们呢？下面介绍几种防范和清除手段。 　　 方法 通过启动方式 　　 　　由于木马的隐蔽性非常强，在电脑开机的时候一般都会自动加载，在启动之后大部分还会更改文件名，因此从Windows系统自动加载文件的方式入手来分析木马的存在并清除就很有意义。木马自动加载的方法和存放的位置比较多，下面结合具体的实例来分析木马的启动并提出常见的木马清除方法。 　　 　　1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处，在Win98资源管理器里的位置是“C:windowsstart menuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上： 　　 HKEY_CURRENT_USERSoftwareMicrosoft 　　 WindowsCurrentVersionExplorerShell Folders 　　 HKEY_CURRENT_USERSoftwareMicrosoft 　　 WindowsCurrentVersionExplorerUser Shell Folders 　　 HKEY_LOCAL_MACHINESoftwareMicrosoft 　　 WindowsCurrentVersionexplorerUser Shell Folders 　　 HKEY_LOCAL_MACHINESoftwareMicrosoft 　　 WindowsCurrentVersionexplorerShell Folders 　 　　通过这种方式实现木马自动加载时，如果是在Win98系统下还可以直接运行Msconfig命令在“启动”处查看，下边将要涉及的system.ini、win.ini、autoexec.bat等文件也都可以用这个命令来查看。　　 　　通过菜单启动最典型的木马例子是“求职信”（W97M_Resume.A）病毒，这种新病毒除了试图自动发出邮件实现连环感染之外，还会删除磁盘中的全部文件，带这种病毒的信件标题为：Resume-Janet Simons，带有附件Explorer.doc，用户一旦执行附加文件，即会遭到病毒传染。如果将其手工清除，除了需要删除该病毒文件之外，还需要做以下工作： （1）检查DATAnormal.dot，直接删除该文件。 　　 （2）如果 C:windowsstartmenuprograms 　　 startup目录下有explorer.doc这个文件，删除它。 　　 2、通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节 的“load=file.exe ，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”（Windows系统的图形界面命令解释器）。如果此处修改成其他的可执行文件就可以实现木马的加载，例如“妖之吻”病毒，电脑每次启动后就自动运行程序yzw.exe，修改的方法是编辑 system.ini，将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。 　　前不久发生的TROJ_BADTRANS.A病毒，也是通过E-mail传递的，它能将木马种到用户的计算机中以