怎么防止木马软件_避免木马程序图_木马程序_黑客接单-在线黑客技术

我中的是什么病毒？怎么一下我的QB游戏币都不见了？

我很惊讶,我惊讶的不是有人有这种偷钱技术,我惊讶的是一个有500万游戏币的人还会上这样的当!!!!毫不避讳地说,我以前通过各种手段没花一分钱弄了不少游戏币（具体多少我不敢说，怕说出来遭人围殴）,包括曾经互联星空充值、多号刷分、木马巧取豪夺（你遇到的那种）、网上倒币等等等等。好在我早就良心发现，悬崖勒马。你遇到的情况是有有给你发个很吸引人的文件，图标可能是图片、文档等，你如果下载并打开，木马程序执行，无需你的密码即可远程转换登录，你被挤下线，与此同时，对方用一种转帐程序（也算外挂）在一个游戏币大场迅速转帐，速度之快非常人所能想象，当你急忙再登录时，他已转完了，他对你QQ没兴趣，QQ还是你的，但钱已经到他手了。这种手段很巧妙也很无耻（我曾经也干过），但通常都是没有什么防范意识的初级中级玩家会上当，像你这样身上背了500多万的人怎么这么不小心啊？恕我直言：你这么多钱也不是正常手段得来的吧？你不该上这种当。如果你是正当得来的这么多钱，那你就是游戏高手中的高手了，以后小心点，别人发的东西别接受。点到为止，还有好多手段鉴于篇幅不一一叙述。所谓害人之心不可有，防人之心不可无，好自为之。

怎么防止木马软件_避免木马程序图

手机被植入木马程序该怎么办？

可在手机上安装杀毒之类的安全软件进行检测，看看是否有恶意程序。

若手机中病毒，建议操作：

1、备份重要数据（联系人、照片、备忘录等）恢复出厂设置。

2、若问题依然存在，建议携带购机发票、三包凭证，将手机送至售后服务中心检测维护。

扩展资料

预防

1．乱码短信、彩信，删。

乱码短信、彩信可能带有病毒，收到此类短信后立即删除，以免感染手机病毒。

2．不要接受陌生请求。

利用无线传送功能比如蓝牙、红外接收信息时，一定要选择安全可靠的传送对象，如果有陌生设备请求连接最好不要接受。因为前面说过，手机病毒会自动搜索无线范围内的设备进行病毒的传播。

3．保证下载的安全性。

网上有许多资源提供手机下载，然而有的资源里捆绑了病毒，这就要求用户在使用手机下载各种资源的时候确保下载站点是否安全可靠，尽量避免去个人网站下载。

参考资料来源：百度百科-手机病毒

3. 收集资料，讨论针对当前3种流行木马的防范及清除策略

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=

"C:\WINDOWS\SYSTEM\CheckDll.exe"

在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

清除方法：

1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。

2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。

3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－附件－系统工具－系统信息－工具－系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。

网络神偷（Nethief）

网络神偷又名Nethief，是第一个反弹端口型木马！

什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 。 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户向外连接80端口吧。

嘿嘿。最新线报：目前国内木马高手正在大规模试验(使用)该木马，网络神偷已经开始流行！中木马者也日益增多，大家要小心哦！

清除方法：

1、网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除；

2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。

OK，神偷完蛋了！

WAY2.4（火凤凰、无赖小子）

WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。

WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！

清除方法：

要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！在删除前请做好备份。

冰河

冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sy***plr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sy***plr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sy***plr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

清除方法：

1、删除C:\Windows\system下的Kernel32.exe和Sy***plr.exe文件。

2、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion

\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。

3、在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，还有键值为C:\windows\system\Kernel32.exe的，也要删除。

4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\windows\system\Sy***plr.exe %1改为正常情况下的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。

广外女生

广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！

该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。

清除方法：

1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它。

2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”。

3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）。

4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*。

5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值。

6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

7、完成。

聪明基因

聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？

哈哈，木马就是如此，骗你没商量！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是HTM文件呢！

Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守护进程MBBManager.exe！想清除我？没那么容易！

聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！

清除方法：

1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager.exe这个进程，然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe，editor.exe在windows下可直接删除。

2. 删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WINDOWS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！

3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。

4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1，因此要恢复成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1，这样就将HLP文件关联恢复过来了。

好了，可以和聪明基因说“再见”了！

黑洞2001

黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。

黑洞2001服务端被执行后，会在c:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件用来机器开机时立刻运行，并打开默认连接端口2001，S_Server.exe文件用来和TXT文件打开方式连起来(即关联)！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！

清除方法：

1)、将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1

2)、将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1

3)、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\下的串值windows删除。

4)、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。

5)、到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。

至此就安全的清除黑洞2001了。

Netspy（网络精灵）

Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。

清除方法：

1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe 回车！

2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，删除Netspy的键值即可安全清除Netspy。

SubSeven

SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。

清除方法：

1、打开注册表Regedit，点击至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器="c:\windows\system\***"。注：加载器和文件名是随意改变的

2、打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。

3、打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。

4、重新启动Windows，删除相对应的木马程序，一般在c:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe

计算机木马

建议用Ewido。许多的反木马程序中，Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在上的测试里表明，它可以有效地检测出多形态和进程注入式木马，这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本，Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了，和kaspersky结合使用加上ZoneAlarm防火墙，可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件，并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶。

去安全模式中杀毒。再不行，就手动杀吧：

木马的自运行方法

前两天在一个E文站点看到一篇关于TROJAN的简单介绍，虽然是属于比较浅显的知识，但是感觉写得还不错，所以翻译其中一小部分给大家共享。

Trojan，这里简称为木马。

多数木马分为两个部分，客户端和服务端，但是很多木马不提供客户端，它们使用通用的telnet作为客户端，或者是它们完全是自动地在做它们要做的事情（比如键盘记录、嗅谈监听等等），完全不需要入侵者更多地干预。可是，那种客户/服务器式的木马则需要入侵者进行交互式xx作。一旦肉鸡在不知情的情况下运行了木马的服务端，入侵者就可以通过某个端口连接到肉鸡，开始使用木马。TCP是最常使用的协议，但是也有一些木马使用ICMP和UDP协议。当木马的服务端在肉鸡上执行以后，它通常是把自己隐藏在计算机上的某个地方，并且在入侵者设定的端口开始监听，等待连接。

为了能够连接肉鸡，必须知道肉鸡的IP，有些肉鸡的IP是动态变化的，比如电话拨号用户或者ADSL虚拟拨号用户。很多木马具有自动发送肉鸡IP到入侵者邮箱的功能，或者是通过ICQ或者IRC来发送。

当肉鸡重新启动的时候，绝大多数木马都有自启动的方法，这些方法包括：使用注册表、使用windows系统文件、使用第三方程序。

1、使用系统文件启动木马

*Autostart Folder

C:\Windows\Start Menu\Programs\startup

这个文件夹是windows启动之后自动运行的文件夹，放在这个下面的任何程序都将自动运行，当机器重新启动的时候。

*Win.ini

如果win.ini中包含下面的，则trojan将自动执行

load=Trojan.exe

run=Trojan.exe

*System.ini

Shell=Explorer.exe trojan.exe

系统启动的时候将自动执行跟在explorer后面的程序

*Wininit.ini

放在该文件下的程序将自动执行，执行完毕后就删除自己，特别适合木马自运行使用

*Winstart.bat

机器启动时的自运行批处理文件

@trojan.exe

使用上面这个语句，木马就自动运行了

*Autoexec.bat

这个是DOS命令行自运行批处理文件，使用

@trojan.exe

*Config.sys

这里也可以自动加载木马

*Explorer Startup

如果存在c:\explorer.exe，则windows将首先执行该程序，而不是通常要执行的c:\Windows\Explorer.exe，这样木马可以把自己改名为explorer.exe，存放在c:\下，这样就执行了它。

2、使用注册表

下面都是木马的藏身之地

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]