木马:伪装成WINDOWS系统文件的程序services.exe

冲冠一怒为红颜！

　　特洛伊木马。希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵开启城门，特洛伊沦陷。后人常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。特洛伊木马也是著名电脑木马程式的名字。 　　现在有的病毒伪装成一个实用工具或者一个可爱的游戏甚至一个位图档案等等，这会诱使使用者将其安装在PC或者伺服器上。这样的病毒也被称为“特洛伊木马”trojan horse，简称“木马”。 　　木马Trojan,也称木马病毒，是指通过特定的程式木马程式来控制另一台计算机。木马通常有两个可执行程式：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事。“木马”程式是目前比较流行的病毒档案，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他档案，它通过将自身伪装吸引使用者下载执行，向施种木马者提供开启被种主机的门户，使施种者可以任意毁坏、窃取被种者的档案，甚至远端操控被种主机。木马病毒的产生严重危害著现代网路的安全执行。

分类: 电脑/网络 >> 反病毒 解析: 检测和删除系统中的木马（Trojan Horse）教程 作者：陈昀/太平洋网络学院 一、木马（Trojan Horse）介绍 木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。 由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是最新的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。 二、木马工作的原理 在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。 既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。 好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始->程序->启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。 木马基本上采用了Windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。 在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成mand.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。 在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe，而是“shell= Explorer.exe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。 隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。 HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRun HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunServicesOnce 上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINESofareSAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。 木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在第三部分有详细介绍。 三、检测木马的存在 知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。 首先，查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。 1、查看system.ini文件 选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”，如果不是这样，就可能中了木马了。下图所示为正常时的情况： 2、查看win.ini文件 选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空，如下图所示： 3、查看启动组 再看看启动标签中的启动项目，有没有什么非正常项目？要是有象bus、spy、bo等关键词，极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都屏蔽掉了。如下图，只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现，自是一目了然。 4、查看注册表 由“开始->运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：“HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件项目，比如bus、spy、server等的单词。注意，有的木马程序生成的服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入 Explorer=“C:WINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别！ 通过类似的方法对下列各个主键下面的键值进行检查： HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunServicesOnce 如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINESofareSAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。 当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USERSofareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****SofareMicrosoftWindowsCurrentVersionRun的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRun或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。 如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。 4、其它方法 上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。 如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法： 由“开始->运行”，输入mand，确定，开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“stat”查看目前已与本计算机建立的连接。如下图所示： 显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000），而Foreign Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非法连接你计算机的木马客户端。 当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用stat命令将看不到什么东西。此时可以使用“stat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）： 如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务操作，那么在监听该端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。 注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。 四、删除木马 好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。 1、由木马的客户端程序 由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“bus”、“spy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址：127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“stat -a”命令查出来。 这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。 2、手工 不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。 用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。 用regedit打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:WINDOWS和C:WINDOWSCOMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。 为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。 目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要Explorer.exe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe文件也给删除掉，再从别人相同操作系统版本的计算机中将该文件Copy过来就可以了。 五、结束语 Inter上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。

Trojan Horse是个什么病毒?怎么干掉它呢？ 用木马的专杀工具。这一类软体网上有许多，你可以自己从网上当一个。 啊，中了个叫MBIme的病毒，怎么干掉它 你可以下个360急救箱进入安全模式扫描查杀一下，看看是否行得通。如果再不行的话，那就要重做系统，如果问题依旧存在，那就请格式化你的硬碟，再重做系统。 病毒trojan horse是什么病毒偶的诺顿杀不掉它,连隔离都不行? 其实 PWSteal.Trojan 和 Trojan horse 是某些防毒软体对木马的一种统称，它并不代表着固定的一个，而是一类，所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软体，并且有很强的清除能力，如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下，但这里需要特别提醒一点： 由于这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗？有的，下面就介绍一个借助免费工具“费尔木马强力清除助手”（此工具已经整合到费尔托斯特安全新版本中了）来清除这种顽固性 PWSteal.Trojan, Trojan horse 木马的方法： 使用这个方法前必须要先知道这个木马的档名是什么。防毒软体在发现木马后一般都会报告它的完整档名，您需要先准确的记录下这个档名。比如：如果防毒软体提示 C:Windowshello.dll 是 PWSteal.Trojan 或 Trojan horse，则记下 C:Windowshello.dll 这个名子。这里需要注意档名一定要记准确，因为有许多木马会把自己的档名故意伪装成和正常的档名很接近，比如 svch0st.exe（木马）->svchost.exe（正常）、Expl0rer.exe（木马）->Explorer.exe（正常）、intrenat.exe / inter.exe（木马）->internat.exe（正常）等等。特别是数字0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的档案清除掉，那就麻烦了； 暂停防毒软体的实时监控，这一点很重要，否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马，那么请先暂停诺顿的实时监控或实时扫描； 下载费尔木马强力清除助手 :dl.filseclab./down/powerrmv.zip； 释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“档名”中输入要清除的木马档名。比如如果您在第1步中记下的档名是 C:Windowshello.dll，那么这时就输入它； 按“清除”。这时程式会询问你是否要举报此病毒到费尔安全实验室，建议点“是”表示同意。接着程式会继续提示是否确定要清除它，仍然选“是”； 之后，如果此木马被成功清除程式会提示成功；或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点选“确定”，这时如果您在前面同意了举报此木马那么程式会自动建立并开启一个“病毒举报”的电子邮件，其中会包含这个木马的样本档案，如果您看到了这个邮件请把它直接传送给 virus@filseclab. 。如果您并没有看到这封邮件也没有关系，可以忽略。 最后，如果程式前面提示了重启电脑后才能清除那么请一定重启您的电脑，在电脑重启后这个木马应该就被清除掉了。 重要提示： 如果您按上面的方法操作之后，发现不久这个木马又出现了，并且还是同样的档名，那么您可以用上面的方法再重复执行一次，不过这次操作时请选中程式中的“抑制档案再次生成”选项， 这样清除后一般木马就很难再复活了。这个功能是最新版“费尔木马强力清除助手”中提供的，如果您的没有这个选项，请从上面的地址中重新下载一次。 我的QQ中病毒了，请问用什么软体可以干掉它呢？ 瑞星的免费“QQ病毒”专杀工具 :it.rising../service/technology/RS_QQMsender.htm Trojan.Clicker.tot是个什么病毒？怎么杀？ 木马病毒 主要窃取使用者资料及密码 进入 安全模式：启动的时候按住 F8 键，出现选择的时候 选“进入安全模式” 执行你的防毒软体，全面扫描磁碟即可。 Heur.Trojan.Generic是个什么病毒 呵呵 木马丫 下面的一楼 给的都是英文 不要下 这个病毒不好杀 去360咨询 还有江民被网民成为 流氓软体 这可不是我一人说的啊 不好写 用360谢 你看他是写不了 其实已经解除安装了 Trojan.PSW.OnlineGames.ary是个什么病毒啊？怎么杀不掉啊？ trojan,木马或者后门类程式,潜藏在您的机器中,偷盗您的资讯发给黑客,甚至线上控制您的电脑. psw,表示,该病毒可以偷盗您的密码帐号,具体偷什么类的,很难说,什么密码都可能偷. onlinegames,表示这个木马针对某些网路游戏,所以可能网游盗号木马. ary...不知道.查出来的软体是哪家公司的,就到那家公司的查杀病毒的主页去找相关资讯. Trojan.PSW.OnlineGames.aom是个什么病毒? Trojan=木马PSW=密码OnlineGames=网路游戏aom=变种 一起叫 盗网路游戏帐号密码的 变种 木马 而且还变种了3次 不简单 你自己小心点 Trojan.PSW.Liumazi.ey 是个什么病毒 病毒资料： :qqread./virusdb/2006/08/g203887. 如果正常删除不掉， 建议使用防毒软体进入安全模式查杀： 开机时，待系统自检完成后，连续不停的按F8，直到出现“启动选单”，使用游标选择，选择第一项，按回车键进入。 进入后，点选“是”在安全模式下工作，此时,可以像正常一样，启动防毒软体防毒即可。 这是个什么病毒Trojan.Maliframe! 病毒名称：Trojan.Maliframe! 级别：一般 病毒名称 Trojan.Maliframe! 病毒级别 一般 病毒利用的漏洞的CVE编号 无 病毒简述 型别：木马 Trojan.Maliframe!是一个木马病毒，是一个侦察HTML档案中包含恶意程式码的后门程式。 当病毒发作时,具有以下行为： 1. 当木马程式执行时，会下载一个恶意攻击档案到受感染的主机上 受影响的作业系统 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 病毒解决 1. 禁用系统还原 (Windows Me/XP) 如果正在执行 Windows Me 或 Windows XP，建议您暂时关闭系统还原功能.预设情况下启用此功能，一旦计算机中的档案被破坏，Windows Me/XP 可使用此功能将其还原.如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。 2. 升级病毒定义库 3. 执行防病毒软体进行完全扫描，并且删除或修复所有受影响的档案。

http://zhidao.baidu.com/question/11059679.html

里应外合的埋伏活动。在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。后人常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。希腊神话是古希腊人最初意识活动的成果， 它不仅仅是古希腊人关于神的传说的总汇， 同时更是蕴含着人文思想和体现人文价值的世界文化瑰宝。

Trojan Horse 是什么病毒？有何特征？ trojan horse：特洛伊木马可理解为类似灰鸽子的软体，在电脑中潜伏，以达到黑客目的。 特征：完整的木马程式一般由两个部份组成：一个是伺服器程式，一个是控制器程式。“中了木马”就是指安装了木马的伺服器程式，若你的电脑被安装了伺服器程式，则拥有控制器程式的人就可以通过网路控制你的电脑、为所欲为，这时你电脑上的各种档案、程式，以及在你电脑上使用的帐号、密码就无安全可言了。 查杀：腾讯电脑管家，卡巴斯基等防毒软体都可以进行查杀。 防护：安装电脑防护软体，下载程式后先扫描再安装。 Trojan Horse是什么病毒啊？ Trojan 是木马 Trojan Horse是特洛依木马的总称,但是也确实有这么一种病毒,而苹果另辟己见 称“Trojan Horse”不是病毒 . 苹果电脑公司已经对“Mircrosoft Word2004”演示版中发现TrojanHorse的报告做出响应，发表宣告称由于Trojan不能自行复制传播，所以不会造成重大威胁。 苹果公司表示：“这不是一种病毒，它不会自行复制传播，并且只发现于对等网路上。” 但是尽管Trojan Horse不能够自行复制传播，它仍是继上月Intego公司发现ConceptTrojanHorse以来首例针对Mac机的恶意软体。 专家们最近曾预测，病毒作者“对Unix的兴趣有所增强”，并称Trojan有可能只是相关的首例病毒，此后还可能会继发多种此类病毒。 Mi2g公司的JanAndresen对“Macworld”称：“Mi2g认为，恶意软体对Unix的注意力增强，可能意味着苹果MacOSX使用者在某些情况下也会遭到攻击。” Trojan会永久性删除Mac使用者主资料夹中的所有档案。5月12日，Intego在得到“Macworld”关于该恶意软体的警告后，已经发布有关TrojanHorse的警告，并已经升级其VirusBarrierX软体以期解决该故障。 Trojan Horse Generic.ZUJ 是什么病毒? 您好不用担心； 既然防毒软体能查出来就一定能杀，所谓杀不了，是因为病毒在执行；正在执行的程式不能修改或删除的。 重新启动，按住F8，进入安全模式，再从安全模式中启动防毒软体就可以轻松防毒了。 另外请一定要清理一下你的临时资料夹<建议使用超级兔子清理系统垃圾.更方便> 建议你安全模式下使用主流防毒软体的最新版防毒 祝您好运。 trojan horse.inject 601 是什么病毒 木马病毒。 正版作业系统 + 正版王牌防毒软体和防火墙 + 良好的上网、使用电脑习惯 + 虚拟机器安装作业系统并上网。 以下推荐选择安装，不要全部都安装！ 试一试金山毒霸2011，用金山网盾获取金山毒霸2011免费一年版。 病毒在预防不在于杀！ 免费安全软体精选： 360防毒；360安全卫士；360保险箱； 可牛防毒软体； 小红伞中文版； Microsoft Security Essentials 微软免费防毒软体； Avast！5免费中文版； “毛豆"安全套装； 超级巡警； 360版ESET NOD32反病毒软体； QQ医生获取诺顿防毒软体2010六个月免费启用码； 费尔防火墙； PC Tools 防火墙； ThreatFire； Windows清理助手。 光有防毒软体还不行，还需要“金钟罩铁布衫”，病毒在于预防不在于杀，影子系统： 辛巴影子卫士； Returnil Virtual System 2010 Home Free。 参考资料： :hi.baidu./victoryanglu 光有防毒软体和防火墙是不能完全防御病毒的，试一试VirtualBox虚拟机器程式，免费的，安装Linux作业系统，玩游戏用Windows，上网用虚拟机器Linux，Linux里面再安装Avast免费杀软，百毒不侵。 trojan horse Dropper.Agent.BMY是什么病毒？ 木马 应该在安全模式下防毒。先升级防毒软体，再重启，重启时长按F8健进入安全模式，（用上下健选择）再防毒。 防毒时关闭系统还原（右键 我的电脑 属性 系统还原 在所有驱动器上关闭系统还原上打勾） 推荐卡巴 Trojan Horse 是个什么病毒??? 木马病毒，建议用“木马克星”或“诺顿”查杀 Trojan Horse 是什么病毒?怎样清除? 是特洛伊木马 中了木马不要着急，我来帮你： 木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装防毒软体(自动)，现在很多防毒软体能删除网路最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！ 由于防毒软体的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是： 1.)检查登录档 看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Sofare＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的档名。如果有，就需要删除相应的键值，再删除相应的应用程式。 2.)检查启动组 木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动载入执行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的资料夹为：C:＼windows＼start menu＼programs＼startup，在登录档中的位置：HKEY_CURRENT_USER＼Sofare＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！ 3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方 比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程式的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是载入木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程式！赶快检查吧。 4.)对于下面所列档案也要勤加检查，木马们也很可能隐藏在那里 C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。 5.)如果是EXE档案启动，那么执行这个程式，看木马是否被装入记忆体，埠是否开启。如果是的话，则说明要么是该档案启动木马程式，要么是该档案捆绑了木马程式，只好再找一个这样的程式，重新安装一下了。 6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动 所以，平时多注意一下你的埠，检视一下正在执行的程式，用此来监测大部分木马应该没问题的。 另外，你也可以试试用下面的办法来解决： 从网上下一个叫“冰刃”的软体。这是一个绿色免安装的小软体，可以放心使用。 这个是下载地址。 :ttian./website/2005/0829/391. 这个是它的详细用法。 :w../soft/review/htm2005/20050930_2107Z.htm 一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐程序、隐服务、隐档案的，利害的能将防毒软体有实时监控给杀死！但在这个冰刃里，它是无法遁身的。开启的非法程序会以红色显示出来。 至于防毒软体，应该说各人有各人的喜好，下面给出的连结上你看看比较一下： 六款主流防毒软体横向评测 :it.sohu./2004/05/19/39/article220183986.s 消费者该如何选择？六款防毒软体横向评测(这个要详细些) :tech.tom./1380/1383/2005513-197230. 病毒有何特征？ 病毒执行时会不停地利用IP扫描技术寻找网路上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使使用者无法通过该网站升级系统。在8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。 trojan horse是什么病毒？怎么把它弄掉？ 现在免杀技术成熟，要过瑞星和卡巴不是太难，不过要过ewido不是很容易！ 木马用ewido,（这是目前最有效最强大的反木马工具，玩马者的克星，） 这是绿色版，网站里面也有安装版，随你选择 :orsoon./Sofare/catalog184/2727. 注册码： 6617-EBE8-D1FD-FEA2 " "更新时会出现"使用者名称过期...."字样,别管它,再点选一次就行了,记得点两次" 输入注册码后接着关掉自动更新，每次升级后得再次输入注册码" 下载这些软体时，不要直接点选，而是点选右键的“使用迅雷下载” 要下载时看清楚，下载地址是那个“本地连线1”，不是那个“电信使用者下载”“网通使用者下载”别搞错了！ （木马克星不能和他相提并论，让姓罗的自己说，他也必须承认这是最好的反木马软体） 用它，再加上卡巴，能躲得过的木马很少见！ 英文trojan horse代表什么病毒? 愿我的答案 能够解决您的烦忧 管他呢，名字不是问题，防毒把哥们，这才是最好的办法 下载腾讯电脑管家“8.8”最新版，对电脑首先进行一个体检，开启所有防火墙避免系统其余档案被感染。 开启防毒页面开始查杀，切记要开启小红伞引擎。 如果普通查杀不能解决问题，您可以开启腾讯电脑管家---防毒——全盘防毒- 进行深度 扫描。 查杀处理完所有病毒后，立刻重启电脑，再进行一次安全体检，清除多余系统快取档案，避免二次感染。 如果您对我的答案不满意，可以继续追问或者提出宝贵意见，谢谢

　　特洛衣木马的典故：　　特洛伊木马的故事是在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。后人常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。特洛伊木马也是著名电脑木马程序的名字。　　另有特洛伊木马“Greek gift”一词意为“害人的礼物”，就来源于这场著名的“特洛伊战争”。　　

trojan horse 这个病毒厉害吗 ？它主要是起什么破坏作用的啊 ？ 特洛伊木马病毒。 它会盗取电脑系统中的，个人资料。重要资讯。 帐号，密码 你最好先断网再杀 杀完后马上 改密码 trojan horse 这个病毒厉害吗 ？它主要是起什么破坏作用的啊 ？这个病毒具备远端控制的能力吗？ 你中了木马，防毒软体都不能彻底删除木马(也就是当时提示删除成功,可重启后,木马依旧存在)。你必须用专业的杀木马软体才能彻底清除它，推荐三款正版免费杀木马软体：Ewido ，杀马 ，超级巡警。 推荐下载网站----- " 英雄无敌缉毒先锋 " 在“木马专杀”栏目里去下载。 如果上面的软体还不行的话,就在该页面下载"冰刃"强制删除. 在百度里搜寻 英雄无敌之缉毒先锋 就可以找到该网站了. U 盘病毒有什么破坏作用？ 呵呵.U盘病毒只是利用U盘在进行感染和传播 并不是代表病毒的危险和危害大小 U盘病毒现在基本上很多病毒都有这个功能了 建议还是杀掉的好!! 名为Downloader的病毒有什么破坏作用? i don not know 我电脑差出了几个病毒，型别是广告软体，这是起什么破坏作用的？ 是的，它占了频宽、cpu、记忆体 广告软体并不属于真正意义上的病毒 老师和尚说的可行，ad-aware SE杀这类小毛贼不错。 ad-aware SE是一个很小的系统安全工具，它可以扫描你计算机中的网站所传送进来的广告跟踪 档案和相关档案，并且能够安全地将它们删除掉。 :dl.pconline..1/6/dlid=1896&dltypeid=1&pn=0&. CIH病毒主要是破坏发作日期 这是很久远的事情了，现在不会中了，你要是想研究的话： 4*26 还有一种变种：每个月26 要是还想具体： :baike.baidu./view/52956.htm T病毒厉害还是G病毒厉害 T病毒是伞公司研制的一种RNA病毒，但是T病毒只能作用于受精卵，直接作用于人类的话就会变成丧尸，腐败坏掉。 而G病毒作用于DNA和RNA。G病毒能直接给成年体生物使用。两种病毒都是用来制造生物武器的。实际上G武器和T武器能力差不多。而感染T病毒的成年人其实不算T武器，因为免疫系统和病毒会相互排斥，人体会腐烂掉，战斗力比起T或者G武器差很多。 按现在来看，实际上T病毒进化后比G更厉害些，因为高阶的T武器能保持理智，G武器不行。 sql32.dll是什么病毒？有什么破坏作用？如何清除？ 开机自检后狂按F8进安全模式 在安全模式下: 一、删除 WINDOWSsystem32 下面的几个档案：sql32.dll，group.dll， *** flash.ocx 二、开启登录档Regedit 1.在开始 -- 执行 -- Regedit 2.按 F3 ,开启登录档的查询 3.在查询框中输入 {14A21378-5BB1-4BC4-95D5-5D3F51527F6F} 4.将该键全部删除 5.在查询框中输入 *** flash.ocx 6.将该键全部删除 三、重启电脑 您可以使用killbox强行将之删除 killbox是一款强行删除任何档案，包括正在执行的程式，不需要在安全模式下进行就可以完成删除操作 :2.sky./soft/21483. 是G病毒厉害还是T病毒厉害？还有比它们更厉害的吗？ 看是怎么比了。要是比杀伤力的话，G远远胜过了T。在《生化危机2》中，只处于G1形态的威廉轻松的杀死了前来抢夺G病毒的USS小队。在和 里昂 的战斗中，虽然 里昂 多次将它击倒，可是用不了多久，它就会继续变异成更恐怖的怪物。凡是被G病毒怪物寄生的人体，也会发生变异，产下G幼体，那种怪物的力量，玩过游戏的应该都体会过。 值得一提的是，在G1形态下的威廉，虽然在外表下还是人类的样子，但是那只变异的手，已经拥有了扭断铁管的怪力。 相比下，被T病毒感染的丧尸，只要被准确的命中头部就会立即死亡。没有被击中头部而倒下丧尸，在不久后会再度站起，变成能快速奔跑的狂暴丧尸，不过只要再次被击倒，也就是彻底死亡。 相比力量的话，G占据绝对优势。 要是对比传染性的话，G病毒必须经过注射才能传染，T病毒可以通过血液，啃咬等多种方式传播，莱肯市的毁灭可以说直接是由于T病毒造成的。 在计算机病毒组成结构中,真正起破坏作用的是 从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4至6种/月的速度递增。不过，孙悟空再厉害，也逃不了如来佛的手掌心，病毒再多，也逃不出下列种类。病毒分类是为了更好地了解它们。 按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。因此，同一种病毒可能有多种不同的分法。 1.按照计算机病毒攻击的系统分类 （1）攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的99％。 （2）攻击Windows系统的病毒。由于Windows的图形使用者介面（GUI）和多工作业系统深受使用者的欢迎，Windows正逐渐取代DOS，从而成为病毒攻击的主要物件。目前发现的首例破坏计算机硬体的CIH病毒就是一个Windows 95/98病毒。 （3）攻击UNIX系统的病毒。当前，UNIX系统应用非常广泛，并且许多大型的作业系统均采用UNIX作为其主要的作业系统，所以UNIX病毒的出现，对人类的资讯处理也是一个严重的威胁。 （4）攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒，它虽然简单，但也是一个不祥之兆。 2.按照病毒的攻击机型分类 （1）攻击微型计算机的病毒。这是世界上传染是最为广泛的一种病毒。 （2）攻击小型机的计算机病毒。小型机的应用范围是极为广泛的，它既可以作为网路的一个节点机，也可以作为小的计算机网路的计算机网路的主机。起初，人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰，但自1988年11月份Inter网路受到worm程式的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。 （3）攻击工作站的计算机病毒。近几年，计算机工作站有了较大的进展，并且应用范围也有了较大的发展，所以我们不难想象，攻击计算机工作站的病毒的出现也是对资讯系统的一大威胁。 3.按照计算机病毒的链结方式分类 由于计算机病毒本身必须有一个攻击物件以实现对计算机系统的攻击，计算机病毒所攻击的物件是计算机系统可执行的部分。 （1）原始码型病毒 该病毒攻击高阶语言编写的程式，该病毒在高阶语言所编写的程式编译前插入到原程式中，经编译成为合法程式的一部分。 （2）嵌入型病毒 这种病毒是将自身嵌入到现有程式中，把计算机病毒的主体程式与其攻击的物件以插入的方式连结。这种计算机病毒是难以编写的，一旦侵入程式体后也较难消除。如果同时采用多型性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。 （3）外壳型病毒 外壳型病毒将其自身包围在主程式的四周，对原来的程式不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试档案的大小即可知。 （4）作业系统型病毒 这种病毒用它自已的程式意图加入或取代部分作业系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的作业系统型病毒。 这种病毒在执行时，用自己的逻辑部分取代作业系统的合法程式模组，根据病毒自身的特点和被替代的作业系统中合法程式模组在作业系统中执行的地位与作用以及病毒取代作业系统的取代方式等，对作业系统进行破坏。 4.按照计算机病毒的破坏情况分类 按照计算机病毒的破坏情况可分两类： （1）良性计算机病毒 良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的程式码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的资料。有些人对这类计算机病毒的传染不以为然，认为这只是恶作剧，没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统和应用程式争抢CPU的控制权，时时导致整个系统死锁，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个档案不停地反复被几种病毒所感染。例如原来只有10KB储存空间，而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。 （2）恶性计算机病毒 恶性病毒就是指在其程式码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的，如米开朗基罗病毒。当米氏病毒发作时，硬碟的前17个扇区将被彻底破坏，使整个硬碟上的资料无法被恢复，造成的损失是无法挽回的。有的病毒还会对硬碟做格式化等破坏。这些操作程式码都是刻意编写进病毒的，这是其本性之一。因此这类恶性病毒是很危险的，应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否，或至少发出警报提醒使用者注意。 5.按照计算机病毒的寄生部位或传染物件分类 传染性是计算机病毒的本质属性，根据寄生部位或传染物件分类，也即根据计算机病毒传染方式进行分类，有以下几种： （1）磁碟引导区传染的计算机病毒 磁碟引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁碟的其他地方。由于引导区是磁碟能正常使用的先决条件，因此，这种病毒在执行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁碟的引导区记忆体储著需要使用的重要资讯，如果对磁碟上被移走的正常引导记录不进行保护，则在执行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。 （2）作业系统传染的计算机病毒 作业系统是一个计算机系统得以执行的支援环境，它包括.、.exe等许多可执行程式及程式模组。作业系统传染的计算机病毒就是利用作业系统中所提供的一些程式及程式模组寄生并传染的。通常，这类病毒作为作业系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而作业系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。作业系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。 （3）可执行程式传染的计算机病毒 可执行程式传染的病毒通常寄生在可执行程式中，一旦程式被执行，病毒也就被启用，病毒程式首先被执行，并将自身驻留记忆体，然后设定触发条件，进行传染。 对于以上三种病毒的分类，实际上可以归纳为两大类：一类是引导区型传染的计算机病毒；另一类是可执行档案型传染的计算机病毒。 6.按照计算机病毒启用的时间分类 按照计算机病毒启用时间可分为定时的和随机的。 定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来启用的。 7.按照传播媒介分类 按照计算机病毒的传播媒介来分类，可分为单机病毒和网路病毒。 （1）单机病毒 单机病毒的载体是磁碟，常见的是病毒从软盘传入硬碟，感染系统，然后再传染其他软盘，软盘又传染其他系统。 （2）网路病毒 网路病毒的传播媒介不再是移动式载体，而是网路通道，这种病毒的传染能力更强，破坏力更大。 8.按照寄生方式和传染途径分类 人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是档案型病毒；它们再按其传染途径又可分为驻留记忆体型和不驻留记忆体型，驻留记忆体型按其驻留记忆体方式又可细分。 混合型病毒集引导型和档案型病毒特性于一体。 引导型病毒会去改写（即一般所说的“感染”）磁碟上的引导扇区（BOOT SECTOR）的内容，软盘或硬碟都有可能感染病毒。再不然就是改写硬碟上的分割槽表（FAT）。如果用已感染病毒的软盘来启动的话，则会感染硬碟。 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于作业系统，依托的环境是BIOS中断服务程式。引导型病毒是利用作业系统的引导模组放在某个固定的位置，并且控制权的转交方式是以实体地址为依据，而不是以作业系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程式被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中伺机传染、发作。 有的病毒会潜伏一段时间，等到它所设定的日期时才发作。有的则会在发作时在萤幕上显示一些带有“宣示”或“警告”意味的资讯。这些资讯不外是叫您不要非法拷贝软体，不然就是显示特定拒绝芫雁图形，再不然就是放一段音乐给您听。病毒发作后，不是摧毁分割槽表，导致无法启动，就是直接FORMAT硬碟。也有一部分引导型病毒的“手段”没有那么狠，不会破坏硬碟资料，只是搞些“声光效果”让您虚惊一场。 引导型病毒几乎清一色都会常驻在记忆体中，差别只在于记忆体中的位置。（所谓“常驻”，是指应用程式把要执行的部分在记忆体中驻留一份。这样就可不必在每次要执行它的时候都到硬碟中搜寻，以提高效率）。 引导型病毒按其寄生物件的不同又可分为两类，即MBR（主引导区）病毒、BR（引导区）病毒。MBR病毒也称为分割槽病毒，将病毒寄生在硬碟分割槽主%

木马这个名字来源于古希腊传说荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事不过现在的木马是指电脑的木马病毒防止木马病毒的最好办法就是下载个杀软试试腾讯电脑管家把管家是杀毒管理二合一，并且兼容性很好 管家独有的二代反病毒引擎，防护查杀更彻底管家拥有全球最大的云库平台，能更好的识别诈骗、钓鱼网站管家独创鹰眼模式，时刻保护您的爱机不受侵害

问题一：特洛伊木马是什么意思？ 大约在公元前13世纪，据说斯巴达有一人家生了个女儿，取名海伦。这小姑娘俏丽无比，渐渐长成一个举世罕见的美女。人人都公认她是全希腊各国最美丽的女子。希腊各国的公子王孙们都纷纷追求她，追求不成者也以看到她的芳容为一生最大的愿望。海伦成了各国公子王孙们的偶像和精心保护的珍宝。后来，海伦的未婚者们达成了协议：让海伦自己选择丈夫，大家保证尊重她的选择，而且要共同保护她丈夫的权利。 后来，斯巴达王阿特柔斯的儿子墨涅依斯为海伦看中，两人成亲。不久，墨涅依斯做了国王，两人相亲相爱，是一对美满的夫妻。 一天，墨涅依斯的王宫里来了一位尊贵的客人。他是特洛伊国王的儿子――帕里斯。特洛伊是小亚细亚半岛（今土耳其）上的一个小王国，它和希腊隔海相望。墨涅依斯对帕里斯盛情款待，连年轻的王后海伦也亲自出来接见。帕里斯长得风度翩翩，风流潇洒，很讨女人喜欢。海伦和他一见钟情，竟鬼迷心窍地和帕里斯一起逃回特洛伊城了。帕里斯还掠走了王宫中的许多财宝。 斯巴达国王墨涅依斯觉得这是一个极大的侮辱，他连夜赶到迈锡城，请国王阿伽门农，也是他的哥哥帮他复仇。阿伽门农当时是希腊各国的霸主，他马上邀请了希腊许多小国的国王来开会，会上大家决定联合起来，用武力消灭特洛伊城。阿伽门农被推选为统帅。不久，一支有10万人马，一千多条战舰的大军，浩浩荡荡地攻打特洛伊城去了。希腊人和特洛伊人的战争爆发了。 希腊人认为，世界上的一切事情都是由神安排的，他们给这场战争的起因编了个美丽的神话。 神话中说，英雄阿喀琉斯的父母――国王珀琉斯和海中女神的女儿忒提斯举行婚礼，奥林匹斯山上的许多神仙都应邀而来了。宴会十分热闹。忽然，来了一位怒气冲冲的女神，她把一个金苹果扔在桌子上，上面刻着一行字：“给最美丽的女神”。 扔苹果的女神是“争吵女神”。珀琉斯国王本来就不敢邀请她，没想到她却自己来了，而且引起一场争吵。因为女神们都想得到金苹果，以此证明自己是最美丽的。于是，众神的首领宙斯命令女神们到特洛伊去，请一个叫帕里斯的牧羊来评判。为了得到金苹果，女神们都给帕里斯最大的许诺：天后赫拉答应使他成为一个国王；智慧女神雅典娜保证使他成为一个最聪明的人；爱与美的女神阿佛洛狄忒发誓让他娶到全希腊最美丽的女子做妻子。 帕里斯把金苹果给了阿佛洛狄忒，因为他不要智慧，不要当国王，只要一个最美丽的妻子。帕里斯其实也不是真正的牧羊童，是特洛伊国的王子伪装的。在阿佛洛狄忒的帮助下，帕里斯拐走了当时最美的女子海伦――斯巴达王墨涅依斯的王后。由此，引发了希腊人和特洛伊人之间的战争。却说希腊人联合起来攻打特洛伊城，但特洛伊城是个十分坚固的城市，希腊人攻打了九年也没有打下来。 第十年，希腊一位多谋善断的将领奥德修斯想出了一条妙计。 这一天的早晨非常奇怪。希腊联军的战舰突然扬帆离开了。平时喧闹的战场变得寂静无声。特洛伊人以为希腊人撤军回国了，他们跑到城外，却发现海滩上留下一只巨大的木马。特洛伊人惊讶地围住木马，他们不知道这木马是干什么用的。有人要把它拉进城里，有人建议把它烧掉或推到海里。正在这时，有几个牧人捉住了一个希腊人，他被绑着去见特洛伊国王。这个希腊人告诉国王，这个木马是希腊人用来祭祀雅典娜女神的。希腊人估计特洛伊人会毁掉它，这样就会引起天神的愤怒。但如果特洛伊人把木马拉进城里，就会给特洛人带来神的赐福，所以希腊人把木马造得这样巨大，使特洛伊人无法拉进城去。 特洛伊国王相信了这话，正准备把木马拉进城时，特洛伊的祭司拉奥孔跑来制止，他要求把木马烧掉，并拿长矛刺向木马。木马发出了可怕的响声，这时从海里窜......>> 问题二：“特洛伊木马”有什么历史典故啊？ 特洛伊木马是木马屠城记里记载著的那只希腊军队用来攻破特洛伊城的大木马。而木马屠城记则是古希腊诗人 - 荷马，在其两部著作伊利亚特与奥德赛里所记载的特洛伊战争的一部份。木马屠城记一直被后人视为神话故事，直至十九世纪时，苏利曼 - 一位业余考古学者才证实木马屠城记真有此事。 战争起因 据荷马与希腊神话所载，这个故事的起因是源自一个金苹果。 这个故事的开端，就是忒提斯（Thetis）与珀琉斯（Peleus）的婚礼，原本宙斯与忒提斯相恋，但那时传说忒提斯的儿子（也就是未来的阿基里斯(Achilles)）会比他的父亲还强大，宙斯害怕当年推翻他父亲的事重演，于是将她嫁给了著名英雄珀琉斯，避免影响他的政权。婚礼上邀请了很多神，唯独争吵女神没有被邀请。她很生气，便抛出一个金苹果，上面写“给最美丽者”。雅典娜，阿佛洛狄德和赫拉都宣称自己应该获得这个苹果。最后她们请求特洛伊王子帕里斯裁决。三个女神都贿赂帕里斯：雅典娜以天下第一聪明人作贿赂；赫拉以王位作贿赂；阿佛洛狄德以天下第一的美人作贿赂。最后帕里斯选择了阿佛洛狄德。作为回报，斯巴达王后，世界上最漂亮的女人海伦和他堕入爱河。在一次访问斯巴达的过程中，帕里斯绑架了海伦，把她带到特洛伊。帕里斯的行动惹怒了斯巴达国王，使其联合希腊各城邦向特洛伊宣战。 战争经过 斯巴达国王美内劳斯因为其太太海伦被帕里斯所带走，因此向希腊各城邦求助，共同出兵特洛伊。但特洛伊因为有亚马逊女战士和黎明女神儿子梅农的帮忙，与维纳斯暗中协助，所以能抵抗希腊联军。但因为雅典娜得不到金苹果，所以不愿放过特洛伊，而且指示奥德修斯向希腊联军献上木马屠城之计。 有一天，希腊联军突然撤退，并留下一只木马，特洛伊人将其当作战利品带回城内。在当天晚上，当特洛伊士兵为胜利而庆祝时，藏匿在木马中的希腊兵悄悄打开城门，将城外的军舰迎进，在一夜间消灭特洛伊城，城内男丁悉数被杀。 对其他地方的影响 据古罗马传说所载，就在特洛伊城城破之际，有一人在乱军中逃脱，并到达今天的意大利，成为伐马人的始祖。而在特洛伊战争后，东地中海成为希腊人的天下，并使为希腊人能够向小亚细亚殖民，这亦使东西方的文化有初步交流。 重新发掘 苏利曼因为自小对这神话感兴趣，并坚信荷马所著的这篇木马屠城记并不是凭空捏造，而是真实记载。因此他花了很多时间赚钱，在储足发掘所需的金钱后，开始著手研究特洛伊城所在地，最后终于在土耳其爱琴海畔挖出特洛伊古城，并在第六层考古地层证实与史实吻合。 问题三：木马病毒为什么叫特洛伊木马呢？有什么来历吗？ 希腊传说中特洛伊王子诱走了王后海伦，希腊人因此远征特洛伊久攻不下，希腊将领奥德修斯用计通过藏有士兵的木马被对方缴获搬入城中一举战胜对方，现在通过延伸把利用计算机程序漏洞侵入后窃取文件的程序程序称为木马。 问题四：特洛伊木马病毒有什么危害 木马同病毒不是很一样病毒主要以破坏数据，破坏软硬件为目的木马则主要以偷窃数据，篡改数据为目的中木马后有可能对丢失上网帐号，各种口令和用户名，远程控制你的电脑，远程控制开启你机器的外围设备“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。病毒(n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。 问题五：特洛伊木马类型病毒的主要危害是什么? 主要是拖慢系统，导致用户资料泄露，盗取账号密码，甚至被黑客远程控制！ 问题六：木马特洛伊是什么? 特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。 “特洛伊木马”（trojan horse）简称“木马（wooden horse）”，据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。 组成 完整的木马程序一般由两个部分组成：一个是服务端（被控制端），一个是客户端（控制端）。“中了木马”就是指安装了木马的服务端程序，若你的电脑被安装了服务端程序，则拥有相应客户端的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。 木马程序不能算是一种病毒，但可以和最新病毒、漏洞利用工具一起使用用，几乎可以躲过各大杀毒软件，尽管现在越来越多的新版的杀毒软件，可以查杀一些防杀木马了，所以不要认为使用有名的杀毒软件电脑就绝对安全，木马永远是防不胜防的，除非你不上网。 启动 作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的，现经常用的方法主要有以下几种: 1.在Win.ini中启动 在Win.ini的[windows]字段中有启动命令load＝和run＝，在一般情况下 ＝后面是空白的，如果有后跟程序，比方说是这个样子： run=c:windowsfile.exe load=c:windowsfile.exe 要小心了，这个file.exe很可能是木马哦。 2.在System.ini中启动 System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序! 另外，在System.中的[386Enh]字段，要注意检查在此段内的driver＝路径程序名这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。 3.利用注册表加载运行 如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。 4.在Autoexec.bat和Config.sys中加载运行 请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后......>> 问题七：人们常用“特洛伊木马”来比喻什么 比喻贪财而受到惩罚的人或是意想不到的事 问题八：特洛伊木马的工作原理是什么 特洛伊是具有某些功能或仅仅是有趣的程序。但它通常会做一些令人意想不到的事情，如盗取口令或文件。 特洛伊是如何工作的 一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。 [内容来自华西黑客联盟] 目前木马的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统唬，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行了木马。 木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马目录。此外，木马还可以利用系统的一些漏洞进行植人，如微软著名的US服务器溢出，通过一个IISHACK攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。 当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现；同时监听某个特定的端口，等待客户端与其取得连接；另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。 问题九：特洛伊木马什么症状 特洛伊木马具有的特性 1.包含干正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性 由于木马所从事的是 地下工作，因此它必须隐藏起来，它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清，还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时，客户端与服务器端连接成功后，客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己，不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题，把它们隐藏起来了。例如大家所熟悉木马修改注册表和而文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件，叫做exe-binder绑定程序，可以让人在使用绑定的程序时，木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定，在你看图片的时候，木马便侵人了你的系统。它的隐蔽性主要体现在以下两个方面: (1)不产生图标 木马虽然在你系统启动时会自动运行，但它不会在 任务栏中产生一个图标，这是容易理解的，不然的话，你看到任务栏中出现一个来历不明的图标，你不起疑心才怪呢! (2)木马程序自动在任务管理器中隐藏，并以系统服务的方式欺骗操作系统。 2.具有自动运行性。 木马为了控制服务端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。 3.包含具有未公开并且可能产生危险后果的功能的程序。 4.具备自动恢复功能。 现在很多的木马程序中的功能模块巴不再由单一的文件组成，而是具有多重备份，可以相互恢复。当你删除了其中的一个，以为万事大吉又运行了其他程序的时候，谁知它又悄然出现。像幽灵一样，防不胜防。 5.能自动打开特别的端口。 木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统，而是为了获取你的系统中有用的信息，当你上网时能与远端客户进行通讯，这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施进一步的入侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议，每台电脑可以有256乘以256个端口，也即从0到65535号 门，但我们常用的只有少数几个，木马经常利用我们不大用的这些端口进行连接，大开方便之 门。 6、功能的特殊性。 通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。 QUOTE: 木马采用的伪装方法 1.修改图标 木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。看看，木马是不是很狡猾? 2.捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无......>> 问题十：什么是特洛伊木马病毒？ 特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。 大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。 服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。 特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。 特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害. 1. Trojan Remover Update 6.4.7 Date 01.27 一个专门用来清除特洛伊木马和自动修复系统文件的工具。 antivirus.pchome/trojan/1070 2. ZoneAlarm Free 6.1.737.000 ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程 onlinedown/soft/1017 3. Trojan Remover 6.4.7 Date 01.27 专门用来清除特洛伊木马和自动修复系统文件的工具 antivirus.pchome/......>>

The Trojan Horse直译 特洛伊木马 ,是个国际性成语,在世界各主要语言中都有。

Trojan Horse是特洛依木马的总称,但是也确实有这么一种病毒,而苹果另辟己见 称“Trojan Horse”不是病毒 . 苹果电脑公司已经对“Mircrosoft Word2004”演示版中发现TrojanHorse的报告做出响应，发表声明称由于Trojan不能自行复制传播，所以不会造成重大威胁。 苹果公司表示：“这不是一种病毒，它不会自行复制传播，并且只发现于对等网络上。” 但是尽管Trojan Horse不能够自行复制传播，它仍是继上月Intego公司发现ConceptTrojanHorse以来首例针对Mac机的恶意软件。 专家们最近曾预测，病毒作者“对Unix的兴趣有所增强”，并称Trojan有可能只是相关的首例病毒，此后还可能会继发多种此类病毒。 Mi2g公司的JanAndresen对“Macworld”称：“Mi2g认为，恶意软件对Unix的注意力增强，可能意味着苹果MacOSX用户在某些情况下也会遭到攻击。” Trojan会永久性删除Mac用户主文件夹中的所有文件。5月12日，Intego在得到“Macworld”关于该恶意软件的警告后，已经发布有关TrojanHorse的警告，并已经升级其VirusBarrierX软件以期解决该故障。

That night,in the main square of the city,all the Trojans celebrated.They sang and danced around the horse,and made jokes about the stupid Greeks.“I haven"t laughed like this since my childhood,” the captain said.After the party,they locked all the gates of the city and then all went to sleep. By midnight,the main square was empty, except for the huge horse.Suddenly a secret door opened on the side of the wooden horse.The horse was full of Greek soldiers!They quietly climbed out of the horse one by one. The soldiers opened the main gates.The Greek army entered the city. For ten years,the Greeks could not capture the city by fighting.In one night,however,they succeeded in capturing it through a clever trick.

这是腾讯的监控文件，会监控你的后台程序与文件并报告给他们那边，基本就是知道你的秘密文件之类的，这在国际上是违法的，所以小红伞会警报。电脑中：特洛伊木马（Trojan Horse），在计算机领域中指的是一种后门程序，是黑客用来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳制作，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。与病毒相似，木马程序有很强的隐秘性，随操作系统启动而启动。一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，实时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

这个名字起源于一个故事，功能就是dao取用户资料或者账号用的，相当于间die吧如果楼主中了木马病毒不要慌，赶紧杀毒建议楼主下载安装腾讯电脑管家来进行杀毒，重启电脑按F8进入安全模式--打开腾讯电脑管家--闪电杀毒--全盘扫描--完成重启电脑就可以了，腾讯电脑管家杀毒管理二合一，16层实时防护，自带小红伞、金山等4大病毒搜索引擎，能够及时拦截钓鱼网站及木马病毒。楼主还可以使用管家登录腾讯账号，不但能保护你的账号还能为账号加速，领游戏礼包。占用资源比较少，不影响楼主办公娱乐。

干扰你程序的运行

lluiy

木马是一种病毒 可以导致你的电脑出现很多的毛病你的帐号被盗取等等一般木马中毒都是通过下载软件，浏览未知网页Trojan一词的特洛伊木马本意是特洛伊的，指特洛伊木马，是木马计的故事木马会盗取你的账号，信息等资料如果电脑中了木马建议尽快杀毒以免造成系统问题可以先做一次全盘杀毒然后针对性的：【腾讯电脑管家】--工具箱--【木马克星】 (针对于杀了又出现的顽固病毒）最后开启实时防毒保护。

首先告诉你解决的办法，安装卡巴斯基和奇虎360卫士配套使用便可高枕无忧。下面我来告诉你什么是木马。特洛伊木马(以下简称木马)，英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。 鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。 原 理 篇 基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。 一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 (1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 (2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 (3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。 木马原理 用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。 一.配置木马 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能： (1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。 (2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。 二.传播木马 (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 (2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。 三.运行木马 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图： (1)由触发条件激活木马 触发条件是指启动木马的条件,大致出现在下面八个地方: 1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。 4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 6.注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。 7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。 (2)木马运行过程 木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例： 其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。 在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口： (1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。 (2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。 (3)4000端口：这是OICQ的通讯端口。 (4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。 四.信息泄露: 一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。 从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。 五.建立连接： 这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。 假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。 六.远程控制： 木马连接建立后，控制端端口和木马端口之间将会出现一条通道。 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。 (1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。 (2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。 (3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。 (4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪 木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序. 一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能. 还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马! 隐形”木马启动方式揭秘 大家所熟知的木马程序一般的启动方式有：加载到“开始”菜单中的“启动”项、记录到注册表的[HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRun]项和[HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun]项中，更高级的木马还会注册为系统的“服务”程序，以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。 另一种鲜为人知的启动方式，是在“开始→运行”中执行“Gpedit.msc”。打开“组策略”，可看到“本地计算机策略”中有两个选项：“计算机配置”与“用户配置”，展开“用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项进行属性设置，选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中输入要自启动的程序的路径，如图所示，单击“确定”按钮就完成了。 添加需要启动的文件面 重新启动计算机，系统在登录时就会自动启动你添加的程序，如果刚才添加的是木马程序，那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的，同样在我们所熟知的注册表项中也是找不到的，所以非常危险。 通过这种方式添加的自启动程序虽然被记录在注册表中，但是不在我们所熟知的注册表的[HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRun]项和[HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRun]项内，而是在册表的[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]项。如果你怀疑你的电脑被种了“木马”，可是又找不到它在哪儿，建议你到注册表的[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorerRun]项里找找吧，或是进入“组策略”的“在用户登录时运行这些程序”看看有没有启动的程序。 特洛伊木马NetBus v.1.60的中文说明 概 述 此程序是一个遥控管理工具,更是一个在局域网或在全球因特网上同朋友逗乐的软件. 安 装 NetBus包含服务器和客户机部分,服务器必须安装在你想逗乐的人的计算机上.客户机属你掌握,它是控 制目标计算机的好程序. 把NetSever服务器,Patch.exe(可更名),放入目标计算机的任意位置并运行它,缺省时安装在Windows中, 以更开机时自动运行. 把NetSever客户机,装在自己的计算机里.开始NetBus,联结你选择的域名或(IP地 址);如果Patch已在你联结的目标计算机中已运行. 让我们开始逗乐! 注意:你看不到Patch在运行-它Windows开始时自动运行,并隐藏. Netbus和Patch使用TCP/IP协议.因此,你的地址有域名或IP号.NetBus会用Connect按钮把你和某人联上. 功 能 *弹开/关闭CD-ROM一次或间隔性自动开关. *显示所选择的图象,如果你没有图像文件的路径,可在Pacth的目录中找.支持BMP和JPG格式. *交换鼠标按钮-鼠标右键变成鼠标左键的功能. *开始所选择的应用程序. *播放所选择的声音文件, 如果你没有声音文件的路径,可在Pacth的目录中找.支持WAV格式. *点击所选的鼠标坐标,你甚至可你的鼠标在目标计算机中运行. *在银屏上显示对话框,回答会返回你的计算机中. *关闭系统,删除用户记录等. *用缺省网络浏览器,浏览所选择的URL. *发送键盘输入的信息到目标计算机中的活动应用程序中! *监视对方的键盘输入的信息,并发回到你的计算机. *清屏!(连接速度慢时禁用). *获取目标计算机中的信息. *上载你的文件到目标计算机中!用此功能,可上载Patch的最新版本. *增大和减少声音音量. *记录麦克风的声音,并将声音返回. *按一次键每次有声音. *下载和删除目标中的任何文件.你能下载/删除在目标计算机硬盘中所选择的文件. *键盘禁用功能. *密码保护管理. *记录键盘活动 *显示,死机和集中系统中的窗囗. 上述功能一些选项在执行时,(逻辑排异),可能会延迟几秒. 连 接 Connect按钮有个很好的特点,它能扫描NetBus计算机中的IP地址.一旦连接它会停止扫描.IP扫描的 参数是xx.xx.xx.xx+xx,等. 127.0.0.1+15 将扫描IP地址的范围是127.0.0.1到 127.0.0.16 但是木马大多数杀毒软件杀不到,我推荐木马杀客木马克星. 木马后来会将电脑变成一只"肉鸡",任幕后人控制,只要你连了网,他就可以肆意控制你的主机,只有拔电源才不会被控制. ___________________________________________________________________________________________________________ 现在网页木马无非有以下几种方式中到你的机器里 1：把木马文件改成BMP文件，然后配合你机器里的DEBUG来还原成EXE，网上存在该木马20% 2：下载一个TXT文件到你机器，然后里面有具体的FTP^-^作，FTP连上他们有木马的机器下载木马，网上存在该木马20% 3：也是最常用的方式，下载一个HTA文件，然后用网页控件解释器来还原木马。该木马在网上存在50%以上 4：采用JS脚本，用VBS脚本来执行木马文件，该型木马偷QQ的比较多，偷传奇的少，大概占10%左右 5：其他方式未知。。。。。。。。。。。。。 现在我们来说防范的方法。。。。。。。。。不要丢金砖 那就是把 windowssystemmshta.exe文件改名， 改成什么自己随便 (s个屁和瘟2000是在system32下) HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。 还有windowscommanddebug.exe和windowsftp.exe都给改个名字 (或者删除) 一些最新流行的木马 最有效果的防御~~ 比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:windows目录下 2000 c:winnt ..... 假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:windows 或 c:winnt目录下创建一个假的 smss.exe 并设置为只读属性~ （2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取）这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马 都很有效果的 经过这样的修改后，我现在专门找别人发的木马网址去测试，实验结果是上了大概20个木马网站，有大概15个瑞星会报警，另外5个瑞星没有反映，而我的机器没有添加出来新的EXE文件，也没有新的进程出现，只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理 临时文件夹和IE 木马（Trojan）这个名字来源于古希腊传说，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。 防治木马的危害，应该采取以下措施： 第一，安装杀毒软件和个人防火墙，并及时升级。 第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。 第三，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 第四，如果使用IE浏览器，应该安装卡卡安全助手，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。

你好，关于特洛伊木马和rootkit木马的区别，首先我们来看什么是特洛伊木马和rootkit木马？特洛伊木马(Trojan Horse)：是指寄宿在计算机里的一种非授权的远程控制程序。它可用于在计算机系统中设置后门，使入侵者能够在以后获得访问权限。这个名字指的是来自特洛伊战争的马，其概念上类似于欺骗防御者将入侵者带入保护区的功能。Rootkit病毒：是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。其中 病毒、蠕虫、后门、特洛伊木马、Rootkit技术等 是黑客们通常采用的网络攻击手段。特洛伊木马和rootkit木马的区别：Rootkit与特洛伊木马的区别一般来说，Rootkit可以运行在两个不同的的层次上。这取决于它替换或者修改了目标系统中的哪种程序。一种是“用户模式Rootkit”，因为Rootkit可以修改系统中现有的二进制可执行程序或者库文件，也就是说它可以修改用户和管理员运行的程序，控制了操作系统的用户级工具组件。另一种叫“内核模式Rootkit“，Rootkit直接进攻系统最深处，操作系统的内核本身。这两个层次上的Rootkit有着明显不同的特征。

我个人认为用卡巴斯基7.0比较好到360安全卫士官方网站去下载30天试用期可能很快就把这种病毒一般国产安全软件不能杀国外的大概可以用卡巴斯基在安全模式里面杀完了拆卸卡巴斯基安装瑞星防火墙和瑞星监控中心和360安全卫士就可以抵挡和多病毒木马了！

请写出在计算机领域中“木马的概念”：木马程序（Trojan horse program）通常称为木马，恶意代码等，是指潜伏在电脑中，可受外部用户控制以窃取本机信息或者控制权的程序。木马指的是特洛伊木马，英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。木马程序带来很多危害，例如占用系统资源，降低电脑效能，危害本机信息安全（盗取QQ帐号、游戏帐号甚至银行帐号），将本机作为工具来攻击其他设备等。

您好！很高兴为您解答，木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马，因此又被叫做“特洛伊木马”完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马，就如同你的家被人偷偷的装上了后门一样，将变得毫无秘密可言，拥有控制程序的人随时可以检查你的文件，做系统管理员才能做的工作（例如格式化磁盘），你的计算机上的所有文件、程序，以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

系统的漏洞

木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行 程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

满意答案Eastind4级2009-04-15一般木马都分两部分，一部分是平时大家中的木马，就是你一运行可能号码就被盗了，另一个组成部分是接受端，也就是说木马盗了号发给谁的问题，这两个部分缺一不可，一般盗号木马是接受端挂在自己的空间中，生成的盗号木马就发布出去了，你下载的木马软件是生成木马的工具而已，生成木马很简单，难的是如何发布出去，并让别人中木马……至于你说的下载木马软件会不会中毒，要看你下载的软件有没有捆绑木马了，如果没有捆绑木马，那么你运行软件不会中毒，生成木马后只要不运行木马就不会中，但是现在网络环境复杂的很，下载的工具很有可能会被捆绑上木马的……不要杀毒，木马生成工具会被误认为病毒，其实是没问题的，最好是到大型安全网站上去下载，安全系数好一点 提问者 的感言： XX 2009-04-15

木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。...

木马病毒是由特洛伊木马这个 故事而得名的， 它们的共同特点都是利用伪装来达到自己的某些目的！！

考虑你的病毒残留在临时文件夹里面建议如下处理注意清空临时文件夹您好不用担心；既然杀毒软件能查出来就一定能杀，如果杀不了，是因为病毒在运行；正在运行的程序不能修改或删除的。那就建议你如下处理重新启动，按住F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。另外请一定要清理一下你的临时文件夹<建议使用超级兔子清理系统垃圾.更方便>这是因为有很多病毒主程序隐藏在临时文件夹里面,你杀毒的时候不能完全的删除http://www.pctutu.com/news.asp?id=882006-8-10 超级兔子7.76建议你安全模式下使用主流杀毒软件的最新版杀毒祝您好运。没有杀毒软件的话到这里下载有今天最新的瑞星http://www.luckfish.net/rising.htm

特洛伊木马(Trojan Horse)是指寄宿在计算机里的一种非授权的远程控制程序，这个名称来源于公元前十二世纪希腊和特洛伊之间的一场战争。由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限，使得它成为了黑客们最为常用的工具之一。[1]它是一种典型的网络病毒。它以隐蔽的方式进入到目标机器，对目标机器中的私密信息进行收集和破坏，再通过互联网，把收集到的私密信息反馈给攻击者，从而实现其目的的一种新型病毒。[1]中文名特洛伊木马外文名Trojan Horse本质计算机病毒出处古希腊传说比喻伏兵里应外合的活动快速导航发展原理结构特点功能种类隐藏方式伪装方法防范策略感染后措施木马清除发展趋势概述特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序，是黑客常用的一种攻击工具，它伪装成合法程序，植入系统，对计算机网络安全构成严重威胁。区别于其他恶意代码，木马不以感染其它程序为目的，一般也不使用网络进行主动复制传播。

楼主你好，可以安装使用腾讯电脑管家提升电脑加速能力，深度优化开机时间；新增U盘安全退出功能，一键安全退出U盘； 覆盖安装管家时，增加修改路径的提醒功能；对于安装卸载管家的操作，支持读屏功能；

特洛伊木马可理解为类似灰鸽子的软件，在电脑中潜伏，以达到黑客目的。原指一希腊传说。在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。后人常用"特洛伊木马"这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。现在有的病毒伪装成一个实用工具或者一个可爱的游戏甚至一个位图文件等等，这会诱使用户将其安装在PC或者服务器上。这样的病毒也被称为"特洛伊木马"(trojan horse)，简称"木马"。

手工彻底清除 PWSteal.Trojan, Trojan horse 木马的方法 许多电脑用户会经常遇到自己的防毒软件报告发现 PWSteal.Trojan 或者 Trojan horse 这种病毒但却无法清除和隔离它的情况， 或者是在清除后不久它又出现了，让人非常苦恼。这时该怎么办呢？ 其实 PWSteal.Trojan 和 Trojan horse 是某些防毒软件对木马的一种统称，它并不代表着固定的一个，而是一类，所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件，并且有很强的清除能力，如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下，但这里需要特别提醒一点： 由于这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗？有的，下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 PWSteal.Trojan, Trojan horse 木马的方法： 使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名，您需要先准确的记录下这个文件名。比如：如果防毒软件提示 C:Windowshello.dll 是 PWSteal.Trojan 或 Trojan horse，则记下 C:Windowshello.dll 这个名子。这里需要注意文件名一定要记准确，因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近，比如 svch0st.exe(木马)->svchost.exe(正常)、Expl0rer.exe(木马)->Explorer.exe(正常)、intrenat.exe / internet.exe(木马)->internat.exe(正常)等等。特别是数字0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的文件清除掉，那就麻烦了； 暂停防毒软件的实时监控，这一点很重要，否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马，那么请先暂停诺顿的实时监控或实时扫描； 下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip； 释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:Windowshello.dll，那么这时就输入它； 按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，建议点“是”表示同意。接着程序会继续提示是否确定要清除它，仍然选“是”； 之后，如果此木马被成功清除程序会提示成功；或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”，这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件，其中会包含这个木马的样本文件，如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系，可以忽略。 最后，如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑，在电脑重启后这个木马应该就被清除掉了。 重要提示： 如果您按上面的方法操作之后，发现不久这个木马又出现了，并且还是同样的文件名，那么您可以用上面的方法再重复执行一次，不过这次操作时请选中程序中的“抑制文件再次生成”选项， 这样清除后一般木马就很难再复活了。这个功能是最新版“费尔木马强力清除助手”中提供的，如果您的没有这个选项，请从上面的地址中重新下载一次。 注意： “费尔木马强力清除助手”有很强的文件删除能力，清除后的文件将无法再恢复，所以在清除前一定要确定文件名没有输入错误。 如果您按上面的方法操作后仍然不能成功清除掉木马，则可能是电脑中还存在着另外一个更主要的木马，在它被清除后会自动从另外一处恢复。这时您需要用防毒软件扫描出所有的这些木马，然后逐一或同时清除才行。 参考资料：http://www.filseclab.com/tech/pwsteal.trojan.htm

检测和删除系统中的木马教程 一、木马（Trojan Horse）介绍 木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。 在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。 由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。 二、木马工作的原理 在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。 既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把 Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。 好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始->程序->启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。 木马基本上采用了Windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。 在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。 在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是 explorer.exe，而是“shell=Explorer.exe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。 隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。 HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINESoftwareSAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。 木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在第三部分有详细介绍。 三、检测木马的存在 知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。 首先，查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。 1、查看system.ini文件 选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe” ，如果不是这样，就可能中了木马了。下图所示为正常时的情况： 2、查看win.ini文件 选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空 3、查看启动组 再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词， 极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都 屏蔽掉了 4、查看注册表 由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至： “HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己 不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的 服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入 Explorer=“CWINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母 的差别！ 通过类似的方法对下列各个主键下面的键值进行检查： HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINESoftwareSAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。 当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER SoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****Software MicrosoftWindowsCurrentVersionRun的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。 如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。 4、其它方法 上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。 如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法： 由“开始->运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示： 显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address ：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000 ），而Foreign Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被 Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非 法连接你计算机的木马客户端。 当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用netstat命令将看不 到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口 。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）： 如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务操作，那么在监听该 端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。 注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何 网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。 四、删除木马 好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。 1、由木马的客户端程序 由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址： 127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。 这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。 2、手工 不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。 用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将 [BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。 转贴于 华夏黑客同盟 http://www.77169.org 用regedit打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:WINDOWS和C:WINDOWSCOMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。 为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。 目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要 Explorer.exe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行 Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe文件也给删除掉，再从别人相同操作系统版本的计算机中将该文件 Copy过来就可以了。 五、结束语 Internet上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。 典型案例一： 我的机器已中了木马病毒Trojan.TRC.mIRC.f 是在c:WINNTsystem32sy5tem文件中，我想要把文件删掉，可是提示为：源文件正在被使用，瑞星杀毒软件又不能杀掉，我的系统是win2oooprofessinal,并不能运行msconfig命令，请教：该怎么办？ 回复： 从Windows XP中剥离的Msconfig程序完全可以在Windows 2000中使用。顺便提供 pchome下载点。 把它COPY 到Win2000的WinntSystem目录下，然后直接运行。 程序首先会弹出一个出错的消息框，提示找不到以下几个系统文件：Config.sys、Autoexec.bat、System.ini 及Win.ini，“忽略”它，点击“确定”之后就会看到 Msconfig 程序窗口。 参考文献：http://www.enet.com.cn/article

我补充下Trojan就是特洛一的意思你可以曲看看荷马史诗了解下他的背景和来由

特洛伊木马（Trojan horse） Trojan Horse木马专杀工具 http://download.ewido.net/ewido-setup.exe 用到现在最好的工具了,能杀掉一些国内杀软么办法杀掉的木马

你不需要知道它在什么地方, 呵呵.如果是偷QQ密码就就在 QQ 文件夹内，否则都在系统盘的WINDOWS 下面隐藏着呢.用个杀毒软件杀杀就OK了.如果杀不到也知道在哪里了。.

特洛伊木马希望能帮助你，满意请点“采纳”

I-wonder-whether-he-is-a-Trojan-Horse.0我不知道他是否是一个木马。此结果来自百度翻译、双语例句1. There are dots above the letters i and j.字母i和j上面都有一点。来自《权威词典》2. If you invert " I can " , you have " can I ".如果你把Ican两词前后颠倒一下,就成了 can I.来自《简明英汉词典》3. You should correct the small letter i to capital letter I.你应该把小写的i改为大写的I.

古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。Greek legends, Trojan prince of Troy, visited Greece went queen Helen, Greek so expedition Troy. Siege to the nine years in 10 years, Greek generals Odysseus offer a plan, the group is a great men in ambush the Trojan horse, out of internal after they pretend. Troy people thought the enemy soldiers already retreated, put into town as trophies in the Trojan horse. At night, the mighty men in ambush Trojan jumps out and opened the gate, Greece soldiers YiYongErRu down town.

把杀毒软件关了再更新

特洛伊古城位置特洛伊古城遗址

特洛伊木马（Trojan Horse)是指寄宿在计算机里的一种非授权的远程控制程序，这个名称来源于公元前十二世纪希腊和特洛伊之间的一场战争。由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限，使得它成为了黑客们最为常用的工具之一。它是一种典型的网络病毒。它以隐蔽的方式进入到目标机器，对目标机器中的私密信息进行收集和破坏，再通过互联网，把收集到的私密信息反馈给攻击者，从而实现其目的的一种新型病毒。特洛伊木马特点1、隐蔽性。特洛伊木马的隐蔽性是其最重要的特征，如果一种特洛伊木马不能很好地隐藏在目标计算机或网络中就会被用户或安全软件发现和查杀，也就无法生存下去了。2、自动运行性。特洛伊木马必须是自动启动和运行的程序，因此其采取的方法可能是嵌入在启动配置文件或者注册表中。

损害电脑啊

额，你这个中毒满深的

Ancient Greek legend, Prince Paris of Troy to visit Greece, lured away by Queen Helen, the Greek expedition to Troy, therefore. 9-year siege, the first 10 years, Greece Odysseus offer a general term, is to ambush a group of warriors in a huge intra-abdominal Trojan horse, on the outside, the right to pretend withdraw. Dibing people think that Troy has retired, they moved into the spoils of war as a Trojan horse town. By night, in an ambush in the Trojan Warriors jumped out, opened the gate, the officers and men of Greece took over a rush of the city. Later, people write articles, they used "Trojan horse" in this story, the metaphor used in the enemy camp, laid ambush Liyingwaihe.

原因:特洛伊国王的儿子拐走了斯巴达国王的妻子海伦。经过:希腊人围困特洛伊十年，攻不下城。于是奥德赛想出了木马计。结果:特洛伊人的城市被攻克，国王被刺死。

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。传染方式:通过电子邮件附件发出，捆绑在其他的程序中。病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

krnln.fnr这个文件报毒 代码多就不报毒了,如果一两行独立编译就报毒. 网上有的文章说是木马，有的说是程序的支持库文件 看起来是易语言的运行库，大概这个程序是加过壳的。 不过，病毒将其伪装成程序的支持库也很常见 总的一句话．．．有点危险哦