如何检测计算机木马

cugb1952

1、 检查注册表
在Windows系统命令行中，用regedit命令进入注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以"Run"开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。
2、 检查启动组
木马经常隐藏在启动组而自动加载运行。启动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方。
3、隐蔽在Win.ini以及System.ini中
Win.ini的小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要认真检查，有可能是木马；在System.ini的小节的Shell=Explorer.exe后面也是加载木马的好场所。如果是：Shell=Explorer.exe wind0ws.exe，则wind0ws.exe很有可能就是木马服务端程序。
4、检查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat
当你下载一个文件或是打开某些网页链接时，间谍软件会未经你同意而偷偷安装。间谍软件可以设置您的自动签名，监控你的按键、扫描、读取和删除你的文件，访问您的应用程序甚至格式化你的硬盘。它会不断的将你的信息反馈给控制该间谍软件的人。这就要求我们在下载文件时要多加小心，不要去点击那些来路不明的连接。
5、 如果是EXE文件启动
那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下。
6、 木马启动都有一个方式
它只是在一个特定的情况下启动，所以，平时多注意一下端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。
发现计算机中了木马后，要找到木马启动文件，一般在注册表及与系统启动有关的文件里能找到木马文件的位置， 删除木马文件，并且删除注册表或系统启动文件中相关木马信息。
但对于一些十分**的木马，一般很难找到，这时需要借助木马查杀工具，如360等；或者请求信息网络中心技术支持。