菜鸟杀毒

一、发现木马

      发现木马和病毒一般可以借助一些检测软件，如360安全卫士，超级兔子等，在没有这些工具的时候，也只能手工来查毒了。一般电脑出现启动速度变慢，经常弹出窗体，和自动关闭，当出现这些症状的时候就有可能中招了。检测的办法：
1、看进程，先把所有的程序关掉。ctrl＋alt＋del打开进程管理器，发现比较陌生的或者奇怪的进程如：9.exe,rund1l.exe,log_1.exe，CMD.exe……等，注意有的木马进程跟系统进程的名字只有一字之差，如rund1l.exe
2、看注册表，win+R打开运行，输入regedit回车，找到键[HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run]，病毒喜欢寄生在这里以便能够自启动，可以经常进来看看如果有陌生的键出现就要警惕了。
3、隐藏文件，有时候直觉告诉你中了病毒的时候，用右键点击盘符，如果菜单出现“自动播放”等选项的时候，那就肯定是中招了。这时用资源管理打开该盘，选择“工具”－“文件夹选项”－“查看” 去掉“隐藏受保护的操作系统文件”前的勾，选择“显示所有文件和文件夹”确定，这是你就可以看见所有隐藏文件了，一般除了系统所在盘的隐藏文件比较多外，其他盘只有一个回收站（RECYCLER）隐藏文件和一个系统备份（System Volume Information）隐藏文件夹。

二、清除

1、先不急着结束病毒进程，用进程信息查看工具IceSword查看进程的启动文件在什么路径，先到该路径下找到该文件，然后在进程管理器中结束该进程，然后删除该可执行文件。如果文件删掉了又回来了，就麻烦写个批处理跟它周旋一下。
打开记事本，输入：
:try
del "C:\DOCUME~1\euser\病毒所在路径\病毒名称.exe"
if exist "C:\DOCUME~1\euser\病毒所在路径\病毒名称.exe" goto try
del %0

保存后改记事本的后缀名为bat，双击运行。引号中的是病毒的完整路径。

2、打开注册表，ctrl＋F查找改病毒进程名如log_1.exe，删除所有找到的带有该病毒名称的键。
最好还是进入RUN键检查一下还有没有残余。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run]
[HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Run]

3、用资源管理器打开所有硬盘，显示所有隐藏文件，找到AutoRun.inf文件，用记事本打开，看该文件中运行的可执行文件路径和名称，找到并删除，删除AutoRun.inf文件。

三、防备

1、打补丁，打补丁，打上所有的补丁之后养几个病毒都没问题。
360安全卫士有个“修复系统漏洞”功能，可以自动帮你系统检测所缺的补丁，并下载安装。

2、封端口。木马使用乱七八糟的端口与服务端通讯，如果把不用的端口关掉，可以安全得多。
在“TCP/IP属性”——“高级”——“选项”——“TCP/IP筛选”——“属性” 中
选中“启动TCP/IP筛选”，然后tcp端口只允许80，8080，21，4000，udp端口只允许4000
所开的端口看你一般用到什么网络软件，比如ie要用80和8080，ftp用的是21，QQ用的是4000＋




转：http://www.cnblogs.com/tuyile006/archive/2007/04/06/702498.html