電腦病毒的異軍突起，病毒肆無忌憚地入侵我們的電腦，殺毒程序的攔截阻攔，在電腦上每天都上演著電腦保衛(wèi)戰(zhàn)。哪天你會(huì)突然發(fā)現(xiàn)你掛著的QQ上居然是一些詐騙的信息和不堪入目的圖片，或者在QQ上得好好的情況下還被強(qiáng)迫下線。接著我們便自己拉開了防衛(wèi)病毒的保衛(wèi)戰(zhàn)，自己先是去改密，然后通過申訴又是去找回。出現(xiàn)這樣的情況，有沒有什么好方法預(yù)防呢?請(qǐng)看下面的文章。

　　怎么判斷中了木馬

　　病人：木馬危害實(shí)在太大了，那我怎么知道自己的電腦中了木馬呢?

　　醫(yī)生：電腦中了木馬后，有時(shí)候會(huì)有一些非常典型的癥狀，比如殺毒軟件自動(dòng)關(guān)閉、電腦運(yùn)行速度變慢、經(jīng)常有一些陌生網(wǎng)頁窗口彈出、系統(tǒng)中某些程序無法運(yùn)行等;也有時(shí)候癥狀并不明顯，不過我們可以通過一些蛛絲馬跡來初步分析電腦是否中了木馬，比如查看“任務(wù)管理器”是否有不熟悉的進(jìn)程(一旦發(fā)現(xiàn)則到網(wǎng)上進(jìn)行搜索看是否是病毒程序)，從系統(tǒng)文件夾、注冊(cè)表、啟動(dòng)程序等查看是否有可疑的文件或項(xiàng)目。

　　下面我們以感染了近期比較活躍的SoundMan木馬的電腦為例來了解一下木馬的一些常見行為。

　　小知識(shí)：SoundMan木馬

　　SoundMan木馬是利用Realtek聲卡相關(guān)程序以及圖標(biāo)迷惑用戶的一款“網(wǎng)游木馬下載器”，它除了具備普通木馬能夠屏蔽顯示隱藏文件的功能外，還可以用替換服務(wù)等方式啟動(dòng)自身，并具有結(jié)束殺毒軟件和在后臺(tái)下載大量網(wǎng)游木馬的功能。

　　1.隱藏文件已經(jīng)無法顯示

　　打開一個(gè)文件夾，在上方菜單中選擇“工具/文件夾選項(xiàng)”，在“查看”中勾選“顯示所有文件和文件夾”，并去掉“隱藏已知文件類型的擴(kuò)展名”前面的勾。經(jīng)過這樣的操作后，隱藏文件還是無法顯示。

　　提示：一旦發(fā)現(xiàn)設(shè)置了“顯示所有文件和文件夾”，而系統(tǒng)仍無法顯示隱藏文件的話，一定要引起足夠的重視，極有可能有木馬入侵。

　　2.查看System32文件夾

　　進(jìn)入System32文件夾中(假設(shè)WindowsXP安裝在C盤)，可以發(fā)現(xiàn)木馬創(chuàng)建了ineters.exe、SoundMan.exe、tthh3.ini這三個(gè)文件(編注：之前我們已經(jīng)對(duì)顯示隱藏文件做了處理)。

　　提示：木馬一般會(huì)在系統(tǒng)文件夾System32中釋放病毒文件以及相關(guān)的ini文件，如果懷疑中了木馬，注意檢查此文件夾中那些在出現(xiàn)中毒癥狀前后所創(chuàng)建的文件。

　　3.查看用戶賬戶

　　單擊“開始/設(shè)置/控制面板”，雙擊“用戶賬戶”，如果發(fā)現(xiàn)電腦中的Guest賬戶無故被激活，或是多出其它的陌生賬號(hào)，例如名為Microsoft的賬戶，也要提高警惕，這也是感染木馬的一個(gè)典型特征。

　　4.查看auto文件

　　當(dāng)系統(tǒng)中了SoundMan.exe木馬后，只要有新的可移動(dòng)存儲(chǔ)接入，此木馬便會(huì)寫入auto.exe和autorun.inf文件，所以我們?cè)谑髽?biāo)右鍵菜單中發(fā)現(xiàn)有auto、autorun任何一個(gè)選項(xiàng)，或是在移動(dòng)硬盤或閃存根目錄下查看發(fā)現(xiàn)auto.exe和autorun.inf這兩個(gè)文件，則證明中毒。

　　提示：現(xiàn)在的木馬一般都會(huì)利用移動(dòng)存儲(chǔ)設(shè)置的自動(dòng)播放功能進(jìn)行病毒的寫入和傳播，所以如果在硬盤分區(qū)以及移動(dòng)存儲(chǔ)設(shè)備根目錄下發(fā)現(xiàn)auto.exe和autorun.inf這兩個(gè)文件，則電腦與移動(dòng)硬盤都已經(jīng)中毒。

　　除了檢查上面那些地方外，我們還可以從以下幾個(gè)木馬喜歡喜歡藏身的地方來查找蛛絲馬跡。

　　一是從“Win.ini”文件判斷是否中毒。利用記事本打開“C:Windows”目錄下的Win.ini文件。在文件的[windows]字段中查找啟動(dòng)命令“load=”和“run=”后面是否跟有程序，在一般情況下“=”后面是空白的，如果在“=”號(hào)后面跟著程序(圖2)，那一般是中了木馬病毒。

　　二是從“System.ini”文件判斷是否中毒。利用記事本方式打開位于“C:Windows”目錄下的“System.ini”文件，如果發(fā)現(xiàn)[boot]字段中“shell=Explorer.exe”后添加了程序，一般都是木馬服務(wù)端程序。另外，在System.ini中的[386Enh]字段，要注意檢查在此段內(nèi)的“driver=路徑程序名”，這里也有可能被木馬所利用。在System.ini中的[mic]、[drivers]、[drivers32]這三個(gè)字段，它們起到加載驅(qū)動(dòng)程序的作用，但也是添加木馬程序的好場(chǎng)所，所以也需要進(jìn)行檢查。

　　三是打開注冊(cè)表編輯器進(jìn)行查找。木馬一般會(huì)利用注冊(cè)表中的Run、RunServices、RunOnce等子項(xiàng)來加載，在“開始”/“運(yùn)行”中輸入“regedit”進(jìn)入注冊(cè)表編輯器，在以下幾個(gè)地方進(jìn)行查看。

　　(1)注冊(cè)表中的啟動(dòng)項(xiàng)

　　查看“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion”下的RunServices、RunServicesOnce、Run、RunOnce以及“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”下的RunServices、Run、RunOnce下是否有可疑項(xiàng)目。

　　如果發(fā)現(xiàn)其中加載了一些陌生程序到系統(tǒng)文件夾中，那么則可能中了木馬病毒。

　　(2)文件關(guān)聯(lián)鍵

　　有些木馬還會(huì)通過修改注冊(cè)表中的某一類型文件的鍵值來加載程序。檢查“HKEY_CLASSES_ROOTXXX(編注：這里的XXX可以是exefile、comfile、batfile、htafile、piffile)shellopencommand”子鍵中“默認(rèn)”值：““%1”%*”;檢查“HKEY_LOCAL_MACHINESoftwareCLASSESXXX(編注：這里的XXX可以是exefile、comfile、batfile、htafile、piffile)shellopencommand”子鍵中“默認(rèn)”值：““%1”%*”。

　　這些“%1%*”可以被賦值，如果發(fā)現(xiàn)默認(rèn)值被修改，例如病毒木馬將其改為“muma.exe%1%*”，則可能中毒。