用任务管理器揪出暗藏的木马+rd+文档

隐藏在U盘中的木马怎么清除
木马会感染U盘内的所有文件夹，那么隐藏在U盘中的木马怎么清除呢?店铺分享了清除隐藏在U盘中的木马的方法，希望对大家有所帮助。

隐藏在U盘中的木马清除方法
1、首先在你的电脑中新建一个文本文档，然后将以下代码复制到文本文档中。

for/f"delims=?"%%ain('dir/a/b')doattrib-a-s-h-r"%%a"
@echooff
pause>nul
exit
2、将装有代码的文本文档另存为“.cmd”格式的文件，将保存类型选择为所有文件，然后再点击保存。

3、将刚才新建的cmd文件复制到U盘中，双击运行之后，隐藏的文件就显示出来了。

4、恢复U盘隐藏文件之后，打开360安全卫士，再对U盘进行木马病毒的查杀。

在清理U盘木马病毒时，安全卫士有可能会损坏U盘中的文件。

如果你U盘中有重要文件，请将它拷贝到电脑中，带病毒清理完毕之后，如果出现文件丢失的情况，再将你备份的文件复制到U盘中。

检查电脑是否中木马病毒方法
方法/步骤1
在开始菜单处输入“cmd”，打出命令“netstat -an” 查看是否有木马监听的端口。

任务栏上右键，点击“启动任务管理器”，检查有哪些类似病毒的服务开启了。

如果
存在可疑的，就右键停止服务
运行“regedit”命令，在注册表中如图三种目录下均找到run文件夹里是否隐藏有
木马的键值。

同样以“cmd”方式进入命令行，打出“net user”找到administrator以外的用户名，“net user 该用户名”看看本地成员组是否也属于administrators组，如果是，说
明很有可能该用户是木马侵入时留的账号。

以上四种方式均是手动检查木马病毒，还有就是通常使用工具查杀病毒，这里就不一
一赘述了。

可以找卡巴斯基，360等木马查杀工具。

感谢您的阅读，祝您生活愉快。

从进程中查找木马对于进程这个概念，许多电脑用户都没有给予太多关注。

在很多人印象里，只知道结束进程可以杀死程序，至于哪些进程对应哪些程序，究竟什么样的进程该杀，什么样的进程不能杀这些问题很少考虑。

这里通过几个实例为大家揭开进程的神秘面纱。

实例一：和进程的“表演者”交个朋友很多时候，我们并没有注意到系统中到底有多少进程。

如果想了解进程的秘密，首先就必须和一些常见系统进程交个朋友，一旦掌握了它们，就能像侦探一样迅速从进程名单中发现可疑的家伙。

在Windows 2000/XP中，Ctrl+Shift+Esc组合键能快速调出任务管理器，而Windows 9X 为Ctrl+Alt+Del组合键。

1.“主角”进程首先来熟悉一下系统中的基本进程，它们是系统运行的基本条件，一般情况下不能关闭它们，否则会导致系统崩溃。

Windows 2000/XP：smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process；Windows 9x：msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。

你知道吗进程与程序简单地说，每启动一个程序，就启动了一个进程。

在Windows 3.x中，进程是最小运行单位。

在Windows 9X/2000/XP中，每个进程还可以启动几个线程，比如每下载一个文件可以单独开一个线程。

在Windows 9X/2000/XP中，线程是最小单位。

程序是永存的，进程是暂时的。

举一个例子说：如果程序是剧本，那么表演过程就是进程；如果程序是菜谱，那么烹调过程就是进程。

人鬼情未了——Svchost.exe它位于系统目录的System32文件夹，是从动态链接库(DLL)运行服务的一般性宿主进程。

最简单的系统木马病毒解决方法系统中木马病毒后该怎么办？下面我们介绍一些简单的解决方法。

1.打开windows任务管理器，察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行，如果有把它结束。

注意在system32目录下的Rundll32.exe 本身不是病毒，有可能一个dll文件在运行，他才可能是病毒或恶意程序之类的东西。

由于windows 任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。

然后设法找到病毒程序文件(主要是你所中止的病毒进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:\Program Files、C:\Documents and Settings\user\Local Settings\Temporary Internet Files、C:\Documents and Settings\user\Local Settings\Temp等处是否有不明文件或病毒程序文件)，然后删去，搞清楚是否是系统文件再动手。

2.有些病毒进程终止不了，提示“拒绝访问”，或者出现“屡禁不止”的情况。

根据我的经验，有三种办法供尝试：A.可能是某些木马病毒、流氓软件等注册为系统服务了。

办法是：察看控制面板〉管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。

再试著中止病毒进程并删除。

B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理，不行则再按步骤1和2A试一试。

C.使用冰刃等工具，察看病毒进程的线程信息和模块信息，尝试结束线程和解除模块，再试著删除病毒进程文件和相应的模块。

(慎用)3.如果稍微懂得注册表使用的，可以再把相关的注册表键值删除。

一般方法：开始〉运行，输入regedit，确定，打开注册表编辑器。

杀除暗藏木马方法介绍实现在很多人说到挂马，还是比较担心自己的安全，毕竟现在太多的牛人来打造免杀木马，但是我却不把这些木马放在眼里，为什么?下面由店铺给你做出详细的杀除暗藏木马方法介绍!希望对你有帮助!杀除暗藏木马方法介绍：这里牵扯到一个权限依赖的问题，举个简单的例子，一个恶意网页，用一个具有管理员权限的用户去访问马上就中，但是用一个游客用户去访问却什么事都没有，这就是所谓的权限依赖问题。

大家现在应该清楚我不怕网站挂马的原因了吧，就是利用权限来防御，我在这里建议大家上网时最好不要用具有管理员权限的用户，但是你硬要使用也可以，但是你要设置一番，设置两个具有管理员权限的用户，一个用来安装程序，一个用来上网，安装程序的那个用户不用设置什么权限，但是上网的这个用户却要好好设置一番了，Windows目录(只是windows本身的目录不包括子目录)及system和system32目录设置上网的那个用户只具备读取权限，这个用意我想大家都清楚吧，然后是注册表的权限，设置注册表权限也是一个重点，杀除暗藏木马：注意：2000的注册表权限设置和XP/2003不一样。

另外还有一些键值。

HKEY_CLASSES_ROOT\exefile\shell\open\commandHKEY_CLASSES_ROOT\txtfile\shell\open\commandHKEY_CLASSES_ROOT\inffile\shell\open\commandHKEY_CLASSES_ROOT\inifile\shell\open\command以上4个键值是一些常用文件的关联。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL这个键值是关于系统隐藏属性的。

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main这两个键值是系统默认主页的。

木马检测 1、查看开放端口 当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的，这样我们就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。

例如冰河使用的监听端口是7626，Back Orifice 2000使用的监听端口是54320等。

假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是中了木马。

查看端口的方法有几种： (1)使用Windows本身自带的netstat命令 C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:113 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING　 TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING TCP 127.0.0.1:5092 0.0.0.0: LISTENING TCP 127.0.0.1:5092 127.0.0.1:1748　TIME_WAI TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING UDP 0.0.0.0:69 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:1703 *:* UDP 0.0.0.0:1704 *:* UDP 0.0.0.0:4000 *:* UDP 0.0.0.0:6000 *:* UDP 0.0.0.0:6001 *:* UDP 127.0.0.1:1034 *:* UDP 127.0.0.1:1321 *:* UDP 127.0.0.1:1551 *:* (2)使用windows2000下的命令行工具fport E:\software>Fport.exe FPort v2.0 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. Pid Process Port Proto Path 420 svchost -> 135 TCP E:\WINNT\system32\svchost.exe 8 System -> 139 TCP 8 System -> 445 TCP 768 MSTask -> 1025 TCP E:\WINNT\system32\MSTask.exe 8 System -> 1027 TCP 8 System -> 137 UDP 8 System -> 138 UDP 8 System -> 445 UDP 256 lsass -> 500 UDP E:\WINNT\system32\lsass.exe (3)使用图形化界面工具Active Ports 这个工具可以监视到电脑所有打开的TCP/IP/UDP端口，还可以显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动。

没有运行任何网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。

不然容易混淆对结果的判断。

四、删除木马好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。

1、由木马的客户端程序由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。

比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS和NETSPY。

从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址：127.0.0.1和端口号，就可以与木马程序建立连接。

再由客户端的卸除木马服务器的功能来卸除木马。

端口号可由“netstat -a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的方法。

不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。

如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。

当然要是你知道该木马的通用密码，那就另当别论了。

还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。

当然，现在多数木马客户端程序都是有这个功能的。

2、手工不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。

屏蔽掉非法启动项。

如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

用regedit打开注册表编辑器，对注册表进行编辑。

Windows揪出隐藏“QQ尾巴”的方法
“QQ尾巴是利用Windows系统下InterExplorer的iFrame系统漏洞自动运行的一种恶意木马程序。

该木马病毒会偷偷潜藏在用户的系统中，发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片、“这是一个很不错的网站或“快去这看看，里面有蛮好的东西之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源，继续传播。

用户除了可以下载“QQ尾巴专杀工具等对其进行查杀外，还可以使用Windows 查找工具将它从用户系统中“甩出去。

用户从开始菜单中选择“查找→文件或文件夹并打开系统“查找对话框：
步骤一：切换到“名称与位置选项卡，在“名称和“包含文字框中输入QQ那段“虚假消息的文字，如一段网址或“一个很不错的网站等，将“搜索范围指定到C:WINDOWS并选中“包含子文件夹选项。

步骤二：切换到“日期选项卡，选中“查找所有文件选项并在其右侧下拉菜单列表中选择“创建时间，在“介于×年×月×日和×年×月×日选项中选择发现QQ发生异常的上一个可以正常聊天的日期，当然也可以是浏览过QQ信息中虚假网址的当天。

步骤三：进行完上述所有设置后，单击“查找，Windows查找工具会分别在C:WINDOWS文件夹中找到一个名为Sendmess的应用程序和C:WINDOWSTEMP文件夹中找到一个名为Younv的应用程序，用户在安全模式下将它们进行清除一下即可完成“QQ尾巴木马病毒的查杀。

如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.各位读友大家好，此文档由网络收集而来，欢迎您下载，谢谢《如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.》是一篇好的范文，感觉很有用处，重新编辑了一下发到XX。

篇一：《计算机病毒》复习思考题20142014《计算机病毒》复习思考题第一手资料：教材、教学PPT必读参考资料：1.金山毒霸2013-2014中国互联网安全研究报告.doc2.中国互联网站发展状况及其安全报告（2014年）.pdf3.瑞星2014年上半年中国信息安全报告.pdf4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc5.★★★木马防治之“葵花宝典”.doc6.★★★深层病毒防护指南.doc7.专题：★★★手动杀毒综合篇.doc8.打造安全U盘(实验).doc9.打造安全、流畅、稳定的系统.ppt主机入侵防御系统.ppt11.关于HOSTS文件.doc12.病毒触发条件.doc第一章计算机病毒概述1.简述计算机病毒的定义和特征。

2.如何通过病毒的名称识别病毒的类型？3.计算机病毒有哪些传播途径？?查找相关资料，试述计算机病毒发展趋势与特点。

?研究计算机病毒有哪些基本原则？搭建病毒分析的环境有哪些方法？第2章预备知识1.硬盘主引导扇区由哪几部分构成？一个硬盘最多可分几个主分区？为什么？Fdisk/mbr命令是否会重写整个主引导扇区？2．低级格式化、高级格式化的功能与作用是什么？高级格式化(FORMAT)能否清除任何计算机病毒？为什么？下的EXE文件病毒是如何获取控制权的？感染EXE文件，需对宿主作哪些修改？4.针对PE文件格式，请思考：Win32病毒感染PE文件，须对该文件作哪些修改？第3章计算机病毒的逻辑结构与基本机制1.文件型病毒有哪些感染方式？2．计算机病毒的感染过程是什么？3．计算机病毒一般采用哪些条件作为触发条件？?试述计算机病毒的逻辑结构。