这篇文章是我自己写的
在我的博客里面
但是都没什么人去看..
所以我希望大家在这里看看
如果你觉得好的话多来我的博客耍耍
O时尚吧 www.oin8.com

这篇文章你别闲麻烦
电脑安全才可以保护你的隐私

原文(干掉所有的木马):

这篇文章是本人自己经过对木马推敲，使用出来的一套经验（比较适合XP）
因为我知道任何木马都是在系统支持下才有用
简单实在，就是我写这篇文章的目的
希望对广大深受木马侵害的菜鸟有用
你不需要什么太多的知识
只要你有使用电脑的管理权限
好了，开工
首先做点准备工作。我们需要设置好全部文件，文件夹，系统，扩展名可见



打开进程管理器CTRL+ALT+Delete
查看进程：

留下smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process； 这些进程（如果有些进程你懂。那么你留下，不懂我还是建议先关掉）
选中进程，右键-结束进程 或右键-结束进程树
由于我优化过，所以你在图片看不到SPOOLSV.EXE
需要注意的是：有的木马很狡猾
把自己改成系统进程名字来迷惑我们（如灰鸽子）
自己看下进程的用户名
分析下再关掉
如果实在对那个进程有迷惑，那么关掉也不为一件坏事（大不了重启）
做了上面的准备工作，就来正式的了

打开系统配置

我们查看一下服务，点隐藏所有MICROSOFT服务
如图：

我给大家分析下，第一个是卡巴，第二个不是很清楚，不过这个服务已经停止了，我们不需要理会他
看到不懂的服务
你也可以打掉它的钩，然后应用，确定。
这样依靠服务的木马就无效了
我们再看下自启动
如图：

AVP就是我的卡巴，VSTART是我的音速启动
正常情况下，我们留个杀毒软件就可以了
点全部禁用，应用，确定。
这样全部开机自动启动的程序就没了
你需要什么自启动的在前面打钩就可以了

经过上面几步，就已经可以干掉多木马了
但是还不够
我们打开注册表
如图：




点编辑-查找，也可以CTRL+F，设置如下：

这个RUN项是自启动的，在系统配置的启动也可以改
但我们为了安全，还是在注册表也找下

等注册表查找几秒
出来了，一个RUN项

可以看出，在RUN项下没有什么数据库值
F3查找下一个：

看到没有。和上面系统配置的启动的类似
其实是一样了。在注册表添加，就会在系统配置的启动出现
右键-删除
建议把不需要的值全部删除（除了杀毒软件，防火墙啦）
你一直F3下去，把多余的都干掉后
注册表就到这部分了
木马依赖的自启动，进程被关闭后
我们找出他的肉身
如图：

设置如下来查找：

我们要查找的是近段时间在系统盘新建的文件
由于我的C盘是系统盘，我就找系统盘好了
我按的是1月10号到1月10号，也就是只查找1月10号新建立的文件
指定日期自己活跃点，只要是你安装系统后的日期
都可以查找
我们要找的就是木马，有了系统，当然才会有木马
木马的建立日期不可能早得过系统文件
好了，我查找出来了

有2个可执行EXE文件
logo1.exe和~tmp2329.exe
是在WINDOWS目录的
这两个绝对是木马
选中，右键-打开所在文件夹
然后杀下毒，的确是不好的东西啊。。
是蠕虫
不过有的木马是杀毒软件杀不出来的
一般正常安装的文件不会在WINDOWS文件夹下留下可执行文件的
那么这两个必定是不安全的文件
不安全的文件不一定是EXE扩展名
bat,com，scr都是木马喜欢骗人的扩展名
当然DLL也不安全
只在是在WINDOWS，WINDOWS/system32， 系统盘:\Documents and Settings\Administrator\Local Settings\Temp
下的文件，日期是比较新的可执行文件，那么请你删除掉
对于系统盘的\Program Files目录
也有一部分木马爱好这里
如果你喜欢把软件安装在系统盘的\Program Files
你自己琢磨那个是你安装的，哪个是非自愿安装的
经过以上操作，你的机子基本是安全的了
下面我再送一招
配合超级巡警来干掉木马
先声明，我绝对不是打广告，我是偶然知道这个软件
看见它运行资源小，所以我才用的（因为本人机子配置差。。）
废话不多说
打开巡警：

启动管理-注册表
点分析
就会如下：

巡警会把正常和未知的分类
可以看到，未知的有4个
名字：avp 类别：未知 数据："G:/PR..省略"           这个是卡巴 在上面步骤已经知道是自启动
名字：VSTART5.0 类别：未知 数据："F:/黑客工具..省略"         这个音速启动 在上面步骤已经知道是自启动
名字：APP..省略   类别：未知 数据:"G:/kaba..省略"        这个文件是DLL扩展名 有危险 ,但是我知道这个文件是以前安装卡巴留下的,故不管它
名字:Userinit 类别:未知 数据:"C:\WIND..省略"       这个不太清楚是什么了,那么你可以选中右键-删除启动项,当然最好是右键-定位到启动文件,我查看了下文件日期,是我安装系统时候建立的,故我不删除了,其实删除也没有影响
未知的你都可以删除,类别正常的别管了
好，再用巡警查找进程(先点巡警的高级,才会出现进程管理项,版本不同,操作可能不一样)

好了,在上面关进程的准备工作中不懂哪个是假的系统进程,哪个是真的,
现在有答案了
点下分析,从上面图中我们可以看到,也和上面注册表操作一样,
正常和未知的分类了
其实正常文件就是XP系统启动需要的基本文件
我们不用管他
我们看未知(就是显示黄色的那个部分)
我说明下
AVP.exe 2个,就是卡巴啦
VSTART5.0.exe 这个是音速启动
QQ.EXE 不用多说了吧
TenyQQ.exe   我挂QQ的软件
TTPlayer.exe   TT播放器
TheWorld.exe   世界之窗浏览器
碰到你不认识的文件进程
你可以右键-打开所在文件夹,用杀毒软件杀一下
当然,如果是厉害点的,杀毒软件杀不出来
你可以选中右键-终止当前进程
也可以右键-关闭所有非系统进程
优点是不用你分析,只留下基本进程(干掉木马时候当然好)
缺点是连你打开的正常文件也会关了(我的TT听歌也关掉了)
关了进程,当然少不了关服务啦
要打开高级
如图:

可以看到,KVP(卡巴被识别为未知)
右键-隐藏已知微软服务
这样就只会显示非微软的服务了
如果你看到有许多黄色的服务
你又不认识的,你可以右键-删除服务
或右键-删除服务和映像文件
如图:

超级巡警你去官方网http://www.dswlab.com 下载
好了,我们的干掉木马之旅也差不多了
当然,我们这样做只是对付杀毒软件干掉不了的木马的下下之策
最好的办法就是防御,不要上一些不认识的小站,最好开着杀毒软件和防火墙

木马病毒是杀不尽,没有终结的,毕竟事在人为嘛
希望大家多学点知识,这样才能保护好自己

希望大家尊重下本人
别把文章说是自己写的就好了..