拒絕入侵 搞定病毒就是這麼簡單[圖]

　　二、再來看看『老朋友』木馬　　

 　　1、關於木馬　　

　　木馬是病毒當中非常特殊的一族。他的實質只是一個網絡客戶程序。木馬工作的原理是這樣的：一臺中了木馬被控制的機器相當於一臺服務器，控制端則相當於一臺客戶機，作為服務器的主機會由木馬打開一個端口並接收控制端的命令，如果控制端提出連接請求，這時中毒機器上的木馬就會自動運行，來回應控制端的請求(開始將中毒機器中對方需要的資料或者文件傳送給木馬發送者的機器)。因此，這就是整個木馬工作的程序。

　　木馬常見的中毒癥狀表現如下：莫名其妙的死機，在沒有操作的情況下硬盤自動讀取(機箱指示燈在閃爍)等等以外，通過下面幾個辦法可以幫助大家發現木馬：

　　很多木馬都是開機就運行的，如果你發現了奇怪的開機運行程序可以通過【開始】-【運行】輸入『msconfig』回車，打開【系統實用配置程序】-【啟動】在這裡關閉你不需要的。往往病毒在這裡關閉以後還會出來，並且2000系統沒有msconfig這個程序，所以需要修改注冊表，咱們往下看。

　　筆者經過整理發現一般木馬都會在以下位置加載自己達到開機運行的目的：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

　　[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]

　　一旦在注冊表以上位置發現含有奇怪的程序路徑完全可以刪除，然後記住程序名稱在注冊表中通過搜索找到並刪除！

　　平時如果沒有下載或者上傳，但是卻發現網絡流量較大(可以通過ADSL指示燈或者通過任務欄裡面上網絡狀態查看)，很有可能就是木馬正在工作。這是應該立刻關閉網絡，重啟進入安全模式下仔細檢查。

　　通過ctrl + shift + del打開[任務管理器]-[進程]，經常看看裡面都有哪些進程在運行。如果你一個都不了解可以上網通過搜索引擎查詢。這裡筆者推薦一個非常好專業的進程查詢網站：http://www.dofile.com/一旦發現可疑進程就要立刻檢查。

　　另外，很多時候會出現某個進程對應的cpu使用率接近100%,首先通過軟件或者網絡搜索這個進程信息對應的程序，關閉程序或者替換別的版本(比如從2.1版替換成3.0版)如果排除程序與系統兼容或者系統本身問題後還出現這樣的情況可以斷定該進程是軟件綁定的木馬。

　　開始-運行，輸入services.msc在這裡可以看到眾多的服務，也許第一次你會頭疼？教大家一個竅門：首先最大化這個窗口，[如圖2]點擊最上端的【狀態】將所以已啟動的服務排列在一起，這樣就一幕了然了，點擊任何一個在左側就有對應的解釋。一般病毒的服務是沒有解釋的(這不是說沒有解釋的就是病毒)所以大家遇到不清楚的上網查查很快就明白了，如果發現有問題的服務趕緊關閉。方法：雙擊准備關閉的服務-進入屬性窗口，點擊『停止』然後將【啟動類型】選擇『已禁用』確定即可！