看到论坛上很多朋友问电脑中病毒木马的问题.做为一个网管的我处理过很多这中问题,做了个手动查杀木马病毒的视频教程给大家,　　希望对大家有帮助,　　下载地址:/Soft/videoteach/.html
楼主发言：1次 发图：0张
　　没人要吗?太让我失望了吧,做了好长时间勒.有什么问题大家都可以问我,有问必答.
　　真么没意思,也没人顶一下.
我来问你啊，怎么识别木马啊,木马是什么啊，问的都是初级的问题，别笑啊
　　看看先
　　大致看了一下简介，被那些英文弄得稀里糊涂，不过我会把链接保存，谢谢楼主，握爪
　　到非凡软件站下个 ewido 用用查杀木马超强!　　　　卡巴斯基+天网防火墙+ewido
构造坚固的PC堡垒!
　　谢谢LZ的视频~　　　　偶的机子最近几天在使用过程中卡巴斯基反复查出在Temp文件夹下有文件foxrar.exe 带有Trojan-PSW.Win32.WOW.eo，每次将其删除后即使用卡巴斯基进行全盘查毒~但是报告监测到0病毒~反复过程.　　　　请问这个病毒是什么病毒，要如何彻底杀除呢~　　
　　Trojan.PSW.QQGame.q　　Trojan.PSW.QQPass.prf　　Trojan.PSW.XYOnline.en　　Trojan.PSW.Misc.kbz　　Trojan.PSW.Lmir.kvi　　叫我干掉它们吧！3Q。
　　晕啊　　我跟楼上的一个情况啊
请遵守言论规则，不得违反国家法律法规电脑病毒一般在什么文件里_百度知道
电脑病毒一般在什么文件里
些病毒windows文件夹些病毒起作用
提问者采纳
其实木马服务器-客户端程序让用户能轻易删除集程序旦用户激木马程序木马文件某应用程序捆绑起传服务端覆盖原文件即使木马删除要运行捆绑木马应用程序木马安装绑定某应用程序绑定系统文件每Windows启均启木马
2、隐藏配置文件
木马实太狡猾知道菜鸟平使用图形化界面操作系统于些已经太重要配置文件数闻问给木马提供藏身处且利用配置文件特殊作用木马容易能家计算机运行、发作偷窥或者监视家现种式隐蔽容易发现所Autoexec.batConfig.sys加载木马程序并见能掉轻哦
3、潜伏Win.ini
木马要想达控制或者监视计算机目必须要运行没傻自自计算机运行该死木马木马早理准备知道类高智商物帮助工作必须找既安全能系统启自运行于潜伏Win.ini木马觉比较惬意家妨打Win.ini看看[windows]字段启命令load=run=般情况＝面空白跟程序比说：run=c:\windows\file.exe load=c:\windows\file.exe
要file.exe能木马哦
4、伪装普通文件
现比较晚现流行于熟练windows操作者容易具体执行文件伪装图片或文本----程序图标改Windows默认图片图标, 再文件名改*.jpg.exe, 由于Win98默认设置&显示已知文件缀名&,文件显示*.jpg, 注意点图标木马(程序嵌张图片更完美)
5、内置注册表
面让木马着实舒服阵既没能找能自运行真快哉景类快马脚揪并进行严厉惩罚甘总结失败教训认面藏身处容易找现必须躲容易发现于想注册表确注册表由于比较复杂木马喜欢藏快赶快检查程序其睁眼睛仔细看别放木马哦：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion所run键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion所run键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion所run键值
6、System.ini藏身
木马真处呀空往哪钻Windows安装目录System.ini木马喜欢隐蔽点打文件看看与文件同该文件[boot]字段内容shell=Explorer.exe file.exe确实内容幸file.exe木马服务端程序另外System.ini[386Enh]字段要注意检查段内driver=路径\程序名能木马所利用再System.ini[mic]、[drivers]、[drivers32]三字段些段起加载驱程序作用增添木马程序场所现该知道要注意喽
7、隐形于启组
木马并乎自行踪更注意能否自加载系统旦木马加载系统任用都赶跑（哎木马脸皮真太厚）按照逻辑启组木马藏身确自加载运行场所组应文件夹：C:\windows\start menu\programs\startup注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellFolders Startup=&C:\windows\start menu\programs\startup&要注意经检查启组哦
8、隐蔽Winstart.bat
按照面逻辑理论凡利于木马能自加载木马都喜欢呆Winstart.bat能自Windows加载运行文件数情况应用程序及Windows自执行并加载数驱程序始执行（点通启按F8键再选择逐步跟踪启程启式知）由于Autoexec.bat功能由Winstart.bat代替完木马完全像Autoexec.bat加载运行危险由
9、捆绑启文件
即应用程序启配置文件控制端利用些文件能启程序特点制作带木马启命令同名文件传服务端覆盖同名文件达启木马目
10、设置超级连接
木马主网页放置恶意代码引诱用户点击用户点击结言喻：门揖盗奉劝要随便点击网页链接除非解信任死愿意等等
其他类似问题
病毒光染系统文件存其文件夹染执行文件甚至存于word等文件宏等等些病毒随着染程序启运行电脑安全造危害
主营：电脑 网络 安全 虚拟化 反病毒 杀毒软件 防火墙 防毒墙 信息安全
为您推荐：
其他2条回答
要电脑病毒论文件夹系统说肯定存影响明显导致系统死机、机黑暗则偷各种密码
现在windows平台上的病毒最常见的是在.exe文件中，这一般是文件型和网络型的病毒，还有一种Email病毒，扩展名叫eml，图标是一个淡淡的信封，属性是隐藏的。若看到这种文件，一般也都是病毒。（以上这些本人是本着浅显易懂的目的来说的。所以没有用到太多的专业术语，呵呵）
电脑病毒的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁木马文件一定是exe后缀名吗？
如题，如果开启Windows“显示文件类型”功能，并确认文件的后缀名不是.exe，那么该文件有可能是木马文件吗？
09-12-02 &匿名提问
1.什么是木马木马就是一种可执行的程序,和平时用到的软件一样,只不过它所实现的功能与正常软件有所区别,主要就是体积小,隐藏性好,有些具有感染性等,最主要的功能就是用来远程控制或窃密等,简言之,就是黑客为了实现特定的目的编写的应用程序.2.木马实例:(1)阿拉QQ大盗:中马后会在指定的时间内强行关闭你的QQ号码,当你再次登陆时,你的号码和密码就会被木马拦截并发送到木马制造者指定的信箱或是网页处理程序上.(2)灰鸽子:中马后对方可以完全控制你的电脑,可以下载你所有的文件,监控你的屏幕,强行开启你的摄像头,格式化你的硬盘,把你的电脑设为代理服务器作为跳板攻击它人电脑来栽赃嫁祸!总之就是可以把你的电脑当成自己的电脑来用,还要以用来盗取钱财,比如可以利用你的ADSL账号消费,用来买网络物品比如QQ币等.3.中木马的方式(1)你直接下载或是接收别人发给你的木马文件(可以作了伪装处理,比如把可执行文件&打扮&成一张照片),然后你傻乎乎的运行了它.(2)一种可能是你下载了捆绑了木马的文件,比如把阿拉QQ大盗与QQ软件捆绑在下起,当你下载QQ软件安装时,QQ木马也会在隐藏状态下运行,你一切你都不会发现有任何的异常.(3)中了网页木马,网页木马就是利用计算机的漏洞精心构造的网页,它的功能就是当你的计算机有这种漏洞时,你的漏洞就会被利用并自动下载运行指定的文件,例如WMF网页木马,当你的计算机有WMF漏洞时,打开些种网页会自动弹出&图片传真查看器&,然后自动下载木马文件到你的计算机并运行,还有HELP控件漏洞的网页木马,打开时会出出MS的帮助文件,然后下载病毒到你的计算机,当然更厉害的就是像正常网页一样,什么也不弹出就把病毒植入你的电脑了.比如冰狐浪子写的自动下载运行器(不过只能突破XP+SP1以下系统)4.如何防范木马(1)现在大家的防范意识都比较好了,很少有傻X去接收网友发给你的文件然后去运行它,所以对于第一种中马的可能性相对较少,建议大家不要接收网友发给你的文件,即使是好友(因为有些病毒可以自动发送文件给好友,你在未确定确是你的好友发给你的文件之时请不要接收,应先问明对方).补充:如果是发送文件的话,病毒怎么伪装也改不了EXE后缀名的特点,所以如果是其它后缀名可以接收,不过利用网页木马技术可以把构造一个任意后缀名的文件发送给别人,这个文件虽然不是木马本身,但是它确可以自动从指定的网址下载可执行文件,比如WMF后缀名的文件,它看起来只是图片的一种格式,和JPG,GIF一样,但是如果是黑客构造的病毒,它就会自动下载文件到你的电脑,(不需要你打开文件,只要你打开此文件所在的文件夹你就中马了)(2)针对捆绑的文件,你最好下载网上的文件时先用捆绑检测文件查一下有没有捆绑附加数据,然后再运行它(3)对于网页木马,这个是传播木马最佳的手段了,只要你打开一个网页你就中马了,相信这也是大家中毒的最大的可能,它只需要你的计算机有漏洞和你打开了旨定的网址这两个条件,你就中马了(关于漏洞,众所周知MS不停的补啊补,没有任何人敢说他的电脑没有任何漏洞,巳知的和未知的),你可能会怀疑:我没有上什么不良网站啊,怎么也会中毒?答:现在网站入侵技术非常的高明,而现在好多网站的安全意识很低,所以好多网站都被黑客入侵并在主页上挂了网页木马了,包括新浪,网易,搜狐,国家安全小组,中国杀毒网等都有被黑客入侵挂马的遭遇,那些小网站就更别说了,被人入侵得千疮百孔!还有一些论坛的人员利用跨站代码的FLASH或媒体文件作签名档,你查看此类帖子的时候也会中了网页木马.说了这么多,现在该说说如何防范了*^_^*先前我说过,只有利用漏洞网马才能升效,所以对付网页木马最好的手段就是及时给电脑打好补丁,没有漏洞网马就无能为力了!!!电脑木马查杀大全常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马.如何来知道电脑有没有被装了木马呢?一、手工方法:1、检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在.具体的步骤是点击&开始&-&&运行&-&&cmd&,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态).通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况.2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一.我们可以通过点击&开始&-&&运行&-&&cmd&,然后输入&net start&来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入&服务&管理工具中的&服务&,找到相应的服务,停止并禁用它.3、检查系统启动项由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里.检查注册表启动项的方法如下:点击&开始&-&&运行&-&&regedit&,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以&run&开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以&run&开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以&run&开头的键值.Windows安装目录下的System.ini也是木马喜欢隐蔽的地方.打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!4、检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机.他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患.恶意的攻击者可以通过这个账户任意地控制你的计算机.针对这种情况,可以用以下方法对账户进行检测.点击&开始&-&&运行&-&&cmd&,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用&net user 用户名&查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了.快使用&net user用户名/del&来删掉这个用户吧!如果检查出有木马的存在,可以按以后步骤进行杀木马的工作.1、运行任务管理器,杀掉木马进程.2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除.3、删除上述可疑键在硬盘中的执行文件.4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之.5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以.6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改.这个一定要改回来.很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的.垃圾病毒 直接改模块参数就OK 资料不见了 直接分析硬盘磁道信息 再修复磁道就OK 要知道营盘上的东西不是这么容易就被删除的.黑客在做完攻击之后都要&擦屁股&--清理计算机硬盘上的信息 .但是很多软件 即使是专业的清理软件依然无法完美地清除,公安机关的 技术人员一样可以把永久彻底删除了的东西复原 何况小小病毒引起的信息流失.记住 分析硬盘磁道 读取磁道上的信息就OK.
请登录后再发表评论!黑客伪装木马程序的常见方法 - 电脑系统安全 - 红黑联盟
黑客伪装木马程序的常见方法
互联网已经日益普及了，大多数的互联网用户也意识到了网络安全问题的重要，如今网友们的警惕性都很高，想要直接让他们执行木马程序可谓是比登蜀道还难了。木马程序由来已久，可能即便是平常不上网的朋友都有所听闻，更何况是互联网的老手了。但是如同高手寂寞，们可是不甘寂寞的，挑战才是他们所要的生活，所以越来越多的伪装星木马程序开始出现了。
1、冒充为图像文件
首先，黑客最常使用骗别人执行木马程序的方法，就是将特木马程序说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用 。
只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe，而木马程序的扩展名基本上又必定是 exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!
还有一个问题就是，木马程序本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了!但入侵者还是有办法的，这就是给文件换个“马甲”，即修改文件图标。
修改文件图标的方法如下:
(1)比如一个名为IconForge 的软件，再进行安装。 下载地址：
(2)执行程序，按下File & Open
(3)在File Type 选择exe 类
(4)在File & Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。
(5)然后按下File & Save 便可以了。
如此这般最后得出的，便是看似jpg 或其他图片格式的木马程序了，很多人就会不经意间执行了它。
2、合并程序欺骗
通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵者一不做二不休，干脆将木马程序说成是应用程序：反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的，于是在悄无声息中，很多受害者便以为是传送时文件损坏了而不再理会它。
如果有更小心的用户，上面的方法有可能会使他们的产生坏疑，所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件，以后 o需执行这个合拼文件，两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼，由于执行合拼文件时 wrap.exe会正常执行，受害者在不知情中，背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner，由于它具有更大的欺骗性，使得安装特洛伊木马的一举一动了无痕迹，是一件相当危险的黑客工具。让我们来看一下它是如何运作的：
以往有不少可以把两个程序合拼的软件为黑客所使用，但其中大多都已被各大防毒软件列作病毒了，而且它们有两个突出的问题存在，这问题就是：
(1)合拼后的文件体积过大
(2)只能合拼两个执行文件
正因为如此，黑客们纷纷弃之转而使用一个更简单而功能更强的软件，那就是Joiner 了。此软件不但把软件合拼后的体积减少，而且可以待使用者执行后立马就能收到一个icq 的信息，告诉你对方已中招及对方的IP ，更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼，用起来相当方便。
首先把Joiner 解压，然后执行Joiner ，在程序的画面里，有“First executable : ”及“ Second File : ”两项，这两行的右方都有一个文件夹图标，分别各自选择想合拼的文件。
下面还有一个Enable ICQ notification 的空格，如果选取后，当对方执行了文件时，便会收到对方的一个ICQ Web Messgaer ，里面会有对方的ip ，当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后，合拼后的文件会比较大。
最后便按下“Join” ，在Joiner 的文件夹里，便会出现一个Result.exe 的文件，文件可更改名称，因而这种“混合体”的木马程序隐蔽性是不言而喻的。
3、以Z-file 伪装加密程序
Z-file 伪装加密软件是台湾华顺科技的产品，其经过将文件压缩加密之后，再以 bmp图像文件格式显示出来(扩展名是 bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼，再用 Z-file 加密及将此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连软件也检测不出它内藏特洛伊木马，甚至病毒!当打消了受害者警惕性后，再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)，只要事先已经发出了“混合体，则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑，受害者根本不会怀疑有什么植入他的计算机中，而且时间并不长，30秒时间已经足够。就算是“明晃晃 ”地在受害者面前操作，他也不见得会看出这一双黑手正在干什么。特别值得一提的是，由于 “混合体” 可以躲过反病毒程序的检测，如果其中内含的是一触即发的病毒，那么一经结开压缩，后果将是不堪设想。
4、伪装成应用程序扩展
此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中，例如 OICQ 。由于OICQ本身已有一定的知名度，没有人会怀疑它的安全性，更不会有人检查它的文件多是否多了。而当受害者打开OICQ时，这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开OICQ时木马程序就会同步运行，相较一般特洛伊木马可说是“踏雪无痕”。更要命的是，此类入侵者大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支新木马来，所以即使杀是毒软件也拿它没有丝毫办法。&KMSERVC.EXE BOOTSRV.EXE 这两个木马是什么？高手来。财富100_百度知道
KMSERVC.EXE BOOTSRV.EXE 这两个木马是什么？高手来。财富100
我3终端我两木马删除终端链接请问社两木马我电脑照威胁
我有更好的答案
进程 bootsrv.exe 附属于软件 bootsrv.exe 由 知名 发行注释: bootsrv.exe 存放目录 C:/Program Files/Common Files 目录已知 Windows XP 文件 139,264 字节 (占总现比率 60% )<img class="word-replace" src="/api/getdecpic?picenc=0ad5,392 字节没进程相关资料 程序没视窗口
Windows 核文件 进程打接口连局域网或互联网 bootsrv.exe 能力 隐藏自身 总结技术威胁危险度 74% , KMSERVC.EXE:木马名字能够随意命名没固定名字莪想改都能够看程序应灰鸽或许远控呵呵删通说定删除机关键亻尔找源程序删掉
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}