如何檢測病毒斷開網路

『壹』 怎樣檢測電腦病毒

一、中毒的一些表現

我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣，總會有一些明顯的症狀表現出來。例如機器運行十分緩慢、上不了網、殺毒軟體生不了級、word文檔打不開，電腦不能正常啟動、硬碟分區找不到了、數據丟失等等，就是中毒的一些徵兆。

二、中毒診斷

1、按Ctrl+Shift+Ese鍵(同時按此三鍵)，調出windows任務管理器查看系統運行的進程，找出不熟悉進程並記下其名稱(這需要經驗)，如果這些進程是病毒的話，以便於後面的清除。暫時不要結束這些進程，因為有的病毒或非法的進程可能在此沒法結束。點擊性能查看CPU和內存的當前狀態，如果CPU的利用率接近100%或內存的佔用值居高不下，此時電腦中毒的可能性是95%。

2、查看windows當前啟動的服務項，由「控制面板」的「管理工具」里打開「服務」。看右欄狀態為「啟動」啟動類別為「自動」項的行;一般而言，正常的windows服務，基本上是有描述內容的(少數被駭客或蠕蟲病毒偽造的除外)，此時雙擊打開認為有問題的服務項查看其屬性里的可執行文件的路徑和名稱，假如其名稱和路徑為C:\winnt\system32\explored.exe，計算機中招。有一種情況是「控制面板」打不開或者是所有裡面的圖標跑到左邊，中間有一縱向的滾動條，而右邊為空白，再雙擊添加/刪除程序或管理工具，窗體內是空的，這是病毒文件winhlpp32.exe發作的特性。

3、運行注冊表編輯器，命令為regedit或regedt32,查看都有那些程序與windows一起啟動。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和後面幾個RunOnce等，查看窗體右側的項值，看是否有非法的啟動項。WindowsXp運行msconfig也起相同的作用。隨著經驗的積累，你可以輕易的判斷病毒的啟動項。

4、用瀏覽器上網判斷。像以前的Gaobot病毒，可以上yahoo.com,sony.com等網站，但是不能訪問一些安全廠商的網站，殺毒軟體不能上網升級。

5、取消隱藏屬性，查看系統文件夾winnt(windows)\system32,如果打開後文件夾為空，表明電腦已經中毒;打開system32後，可以對圖標按類型排序，看有沒有流行病毒的執行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執行文件就藏身於此;drivers\etc下的文件hosts是病毒喜歡篡改的對象，它本來只有700位元組左右，被篡改後就成了1Kb以上，這是造成一般網站能訪問而安全廠商網站不能訪問、著名殺毒軟體不能升級的原因所在。

6、由殺毒軟體判斷是否中毒，如果中毒，殺毒軟體會被病毒程序自動終止，並且手動升級失敗。

三、滅毒

1、在注冊表裡刪除隨系統啟動的非法程序，然後在注冊表中搜索所有該鍵值，刪除之。當成系統服務啟動的病毒程序，會在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身，找到之後一並消滅。

2、停止有問題的服務，改自動為禁止。

3、如果文件system32\drivers\etc\hosts被篡改，恢復它，即只剩下一行有效值「127.0.0.1localhost」,其餘的行刪除。再把host設置成只讀。

4、重啟電腦，摁F8進「帶網路的安全模式」。目的是不讓病毒程序啟動，又可以對Windows升級打補丁和對殺毒軟體升級。

5、搜索病毒的執行文件，手動消滅之。

6、對Windows升級打補丁和對殺毒軟體升級。

7、關閉不必要的系統服務，如remoteregistryservice。

8、第6步完成後用殺毒軟體對系統進行全面的掃描，剿滅漏網之魚。

9、上步完成後，重啟計算機，完成所有操作。

『貳』 電腦做病毒掃描的時候用斷開網路連接么

如果你是在線殺毒的話那就不能斷開
如果你是卡巴斯基.瑞星這種的話就可以斷開了

『叄』 如何檢測內網病毒或者攻擊

解決大法~~呵呵~
中毒三天後解決問題。是區域網內一同學未裝殺軟裸奔，中arp毒後ip偽裝成區域網網關ip
使我們本機內並沒有毒，一聯網就出現問題（因為區域網用戶要通過網關上網）
而他關機後我們上網又使用原有安全網關，從而恢復正常

解決方法如下：
1.掃描殺毒，清除ie緩存，cookies；
2.查看同區域網內的電腦是否出現同樣狀況——可以打開區域網內最臨近的另一電腦，
開任意網頁後，右擊看看源文件，看是否首行注入flash.958167相關代碼。有則判定區域網已中毒
3.下載arp防火牆http://dl.360safe.com/360AntiArp.exe，安裝運行後，即可正常上網。但以後必須一直開著防火牆
4.要徹底解決問題，需要查看攔截arp攻擊記錄，找到攻擊者ip，找區域網網路中心，確定ip對應電腦
找到機主，讓他徹底殺毒！
5.「肇事」電腦的安全問題解決後，網路恢復正常，即可不開arp防火牆了。
看看下邊的連接~呵呵~200分的~
http://..com/question/37400202.html
你~~分~!~送來~!~

『肆』 突然斷網了,網通怎麼查原因

家庭突然斷網，通用且實用的方法是：把所有的線路重新拔插一下、把所有的設備都重啟一下，可能會有意外的收獲。

家庭網路鏈接方法一般是：運營商線路接到運營商的modem(也叫貓)上，再從modem上接一根網線出來接到用戶電腦或路由器上、通過撥號方式上網。

根據以上線路鏈接方法，可以劃分4個故障節點，從而有4個入手查找故障的切入點。這4個節點可以描述為：1、運營商接入的線路；2、運營商的設備modem；3、本地的線路，也就是從modem接出來接到電腦或路由器上的網線；4、本地設備，也就是電腦或路由器。

從上面4個切入點去判斷，逐個檢查：
4、本地設備：檢查電腦網路配置，主要是IP地址的配置是否正常，撥號的賬號密碼是否輸入正確；而路由器同樣要檢查賬號密碼是否輸入正確，還要檢查路由器是否工作正常、是否已損壞。可以使用另外一個路由器來替代已判斷路由器是否正常。
3、本地的線路：本地線路主要檢查的是本地線路是否接觸良好，本地線纜是否完整無損，同樣可以使用另外一條網線來替代測試。
2、運營商的設備modem：由於運營商的設備和運營商接入的線路都由運營商提供和控制，我們無法干預檢測，只能把線路重新拔插一下、把關機設備重啟一下。如果經歷了4、3、2到現在都還沒排查解決問題，那麼就只能判斷為運營商線路問題了，這時只有通知運營商客戶，由他們安排工程師檢查線路。

以上用到的排查問題的方法主要是----替代排查發，就是把懷疑有問題的設備或線路，使用其它同樣或接近的設備線路替代，看問題是否消失解決，已斷定問題的具體位置和原因。

另外，更加實用的方法是：把所有的線路重新拔插一下、把所有的設備都重啟一下，可能會有意外的收獲。

『伍』 怎樣查殺斷網病毒

除非迫不得已
一般情況下
正常模式掃描查殺即可
不必有任何其他措施

斷網一般是緊急處理木馬或黑客入侵的方法
只是斷開黑客的入侵
對殺毒本身沒有任何幫助

如果確實是正常模式無法殺毒或者殺毒軟體被病毒組織等情況發生
才需要進入安全模式殺毒

至於DOS和PE模式，都是比較特殊的情況
98以後的系統帶的都是虛擬DOS
沒有真正的DOS環境了
除非您特意裝的DOS和Windows的雙系統
否則無法實現DOS殺毒，而且DOS下的殺毒軟體現在也不多見
DOS殺毒並不實際
而PE模式，不太清楚。我自己沒這么弄過
但看別人基本都是要Ghost的時候才盡PE
這個我說不好～～

『陸』 怎麼查看電腦是否斷網

1，打開windows10系統，進入win10桌面主界面，在右下角點擊「網路設置」選項，點擊打開。

『柒』 怎樣檢測路由器中中了病毒

路由器是否中病毒主要看路由是否能連上網路。

防止蠕蟲的入侵措施：
1.使用強健而安全的口令
要知道，路由器蠕蟲依賴於強力字典攻擊(不斷地努力猜測口令)，所以我們應當使用不易被猜測的口令。不要使用什麼「admin」、「router」、「12345」等作為路由器的口令，而要使用一種混合性的組合，如rDF4m9Es0yQ3ha等。其中至少要包括大小寫字母，並利用數字和字母。雖然這種口令不易記憶，但我們可以將其存放於可以某個文件(如文本文件)中，再用TrueCrypt、Cryptainer LE等軟體為各種保存密碼的文件加密。
2.保障遠程連接的加密
例如，盡量不要使用HTTP方式傳送，因為它使用的是明文傳送，而可考慮使用HTTPS來傳送基於Web的訪問。可以打開路由器配置程序的遠程訪問設置，選擇「https」選項。如果需要命令行才能訪問路由器，可使用SSH。因為SSH是一個加密的協議。使用加密的連接並不是防止路由器蠕蟲的必須措施，但它可以加強路由器的總體安全性。如下圖2所示：

3.改變默認埠
蠕蟲僵屍可通過這些遠程連接的默認埠侵入，如通過HTTP Web 訪問的80或8080埠、加密Web訪問的443埠、SSH的22號埠等。因此，一台在非默認埠上接收連接的路由器更為安全。很多路由器在緊挨著遠程連接設置功能的位置有一個埠(Port)欄位，在此輸入想要使用的埠號碼。例如，鍵入路由器所在位置的面向互聯網的IP地址，加上一個冒號，然後是埠號。如果是通過SSH進行連接，你需要在SSH客戶端程序的連接設置中指定埠號。

4.使用入站過濾器
其實我們可以對有些路由器進行配置，使其過濾哪些IP地址或范圍准許使用進入的連接，如此便可以阻止不在列表中的任何IP地址的蠕蟲。為此，首先，可以看一下是否可以在路由器的遠程管理設置中定義IP地址或IP地址范圍。然後，檢查路由器是否可以設置入站的連接設置。

5.保障路由器的固件最新
路由器固件所所使用的軟體也使路由器易於受到蠕蟲攻擊，因此保持路由器總是載入最新的固件版本可有助於防止這種漏洞。路由器的製造商們和固件替換項目會定期發布這些固件的更新，用以修補已知的安全漏洞。
要更新路由器的固件，應從廠商的網站下載新的鏡像。然後登錄進入路由器的配置程序，打開「Admin」/「Misc」或「System」部分，選擇最新的固件，並載入它即可。

6.清除蠕蟲：還路由器的清潔之軀
前面所討論的預防性措施可防止路由器受到蠕蟲的攻擊和危害。記住，如果不需要遠程訪問就不要啟用它。如果有必要採用此功能，我建議你把用戶名和口令復雜一些，多用一些大小寫、數字等混合的口令，並要通過SSH或HTTPS傳輸，還要考慮使用非默認埠，並盡量採用任何的入站過濾器。
如果路由器已經受到感染，肯定會發生一些不可思議的事情。例如，據報告，Psyb0t會阻止22號埠、23號埠、80號埠的通信。
要清除蠕蟲，最徹底的解決方法是將路由器恢復到出廠默認值，這樣做可以保證清除蠕蟲。按下路由器背面的復位按鈕，並且過上幾秒鍾(不同的廠商要求不一樣，如筆者的路由器要求按下30秒鍾以上才可以)，就可以恢復到出廠狀態。

『捌』 手工檢測計算機病毒主要途徑

檢測和刪除系統中的木馬（Trojan Horse）教程

作者：陳昀/太平洋網路學院

一、木馬（Trojan Horse）介紹

木馬全稱為特洛伊木馬（Trojan Horse，英文則簡稱為Trojan）。此詞語來源於古希臘的神話故事，傳說希臘人圍攻特洛伊城，久久不能得手。後來想出了一個木馬計，讓士兵藏匿於巨大的木馬中。大部隊假裝撤退而將木馬擯棄於特洛伊城下，讓敵人將其作為戰利品拖入城內。木馬內的士兵則乘夜晚敵人慶祝勝利、放鬆警惕的時候從木馬中爬出來，與城外的部隊里應外合而攻下了特洛伊城。

在計算機安全學中，特洛伊木馬是指一種計算機程序，表面上或實際上有某種有用的功能，而含有隱藏的可以控制用戶計算機系統、危害系統安全的功能，可能造成用戶資料的泄漏、破壞或整個系統的崩潰。在一定程度上，木馬也可以稱為是計算機病毒。

由於很多用戶對計算機安全問題了解不多，所以並不知道自己的計算機是否中了木馬或者如何刪除木馬。雖然現在市面上有很多新版殺毒軟體都稱可以自動清除木馬病毒，但它們並不能防範新出現的木馬病毒（哪怕宣傳上稱有查殺未知病毒的功能）。而且實際的使用效果也並不理想。比如用某些殺毒軟體卸載木馬後，系統不能正常工作，或根本發現不了經過特殊處理的木馬程序。本人就測試過一些經編程人員改裝過的著名木馬程序，新的查殺毒軟體是連檢查都檢測不到，更不用說要刪除它了（哪怕是使用的是最新的病毒庫）。因此最關鍵的還是要知道特洛伊木馬的工作原理，由其原理著手自己來檢測木馬和刪除木馬。用手工的方法極易發現系統中藏匿的特洛伊木馬，再根據其藏匿的方式對其進行刪除。

二、木馬工作的原理

在Windows系統中，木馬一般作為一個網路服務程序在種了木馬的機器後台運行，監聽本機一些特定埠，這個埠號多數比較大（5000以上，但也有部分是5000以下的）。當該木馬相應的客戶端程序在此埠上請求連接時，它會與客戶程序建立一TCP連接，從而被客戶端遠程式控制制。

既然是木馬，當然不會那麼容易讓你看出破綻，對於程序設計人員來說，要隱藏自己所設計的窗口程序，主要途徑有：在任務欄中將窗口隱藏，這個只要把Form的Visible屬性調整為False，ShowInTaskBar也設為False。那麼程序運行時就不會出現在任務欄中了。如果要在任務管理器中隱身，只要將程序調整為系統服務程序就可以了。

好了，現在我們對木馬的運行有了大體了解。讓我們從其運行原理著手來看看它藏在哪。既然要作為後台的網路伺服器運行，那麼它就要乘計算機剛開機的時候得到運行，進而常駐內存中。想一想，Windows系統剛啟動的時候會通過什麼項目裝入而運行一些程序呢？你可能會想到「開始->程序->啟動」中的項目！沒錯，這是Windows啟動時要運行的東西，但要是木馬伺服器程序明顯地放在這就不叫木馬了。

木馬基本上採用了Windows系統啟動時自動載入應用程序的方法，包括有win.ini、system.ini和注冊表等。

在win.ini文件中，[WINDOWS]下面，「run=」和「load=」行是Windows啟動時要自動載入運行的程序項目，木馬可能會在這現出原形。必須要仔細觀察它們，一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與文件名不是你熟悉的或以前沒有見到過的啟動文件項目，那麼你的計算機就可能中上木馬了。當然你也得看清楚，因為好多木馬還通過其容易混淆的文件名來愚弄用戶。如AOL Trojan，它把自身偽裝成command.exe文件，如果不注意可能不會發現它，而誤認它為正常的系統啟動文件項。

在system.ini文件中，[BOOT]下面有個「shell=Explorer.exe」項。正確的表述方法就是這樣。如果等號後面不僅僅是explorer.exe，而是「shell=
Explorer.exe 程序名」，那麼後面跟著的那個程序就是木馬程序，明擺著你已經中了木馬。現在有些木馬還將explorer.exe文件與其進行綁定成為一個文件，這樣的話，這里看起來還是正常的，無法瞧出破綻。

隱蔽性強的木馬都在注冊表中作文章，因為注冊表本身就非常龐大、眾多的啟動項目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

上面這些主鍵下面的啟動項目都可以成為木馬的容身之處。如果是Windows NT，那還得注意HKEY-LOCAL-MACHINE\Software\SAM下的東西，通過regedit等注冊表編輯工具查看SAM主鍵，裡面下應該是空的。

木馬駐留計算機以後，還得要有客戶端程序來控制才可以進行相應的「黑箱」操作。要客戶端要與木馬伺服器端進行通信就必須得建立一連接（一般為TCP連接），通過相應的程序或工具都可以檢測到這些非法網路連接的存在。具體如何檢測，在第三部分有詳細介紹。
三、檢測木馬的存在

知道木馬啟動運行、工作的原理，我們就可以著手來看看自己的計算機有沒有木馬存在了。

首先，查看system.ini、win.ini、啟動組中的啟動項目。由「開始->運行」，輸入msconfig，運行Windows自帶的「系統配置實用程序」。

1、查看system.ini文件

選中「System.ini」標簽，展開[boot]目錄，查看「shell=」這行，正常為「shell=Explorer.exe」，如果不是這樣，就可能中了木馬了。下圖所示為正常時的情況：

2、查看win.ini文件

選中win.ini標簽，展開[windows]目錄項，查看「run=」和「load=」行，等號後面正常應該為空，如下圖所示：

3、查看啟動組

再看看啟動標簽中的啟動項目，有沒有什麼非正常項目？要是有象netbus、netspy、bo等關鍵詞，極有可能就是木馬了。本人一般都將啟動組中的項目保持在比較精簡的狀態，不需要或無大用途的項目都屏蔽掉了。如下圖，只是選中了與注冊表檢查、音量控制、輸入法和能源保護相關的啟動欄。到時要是有木馬出現，自是一目瞭然。

4、查看注冊表

由「開始->運行」，輸入regedit，確定就可以運行注冊表編輯器。再展開至：「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件項目，比如netbus、netspy、netserver等的單詞。注意，有的木馬程序生成的伺服器程序文件很像系統自身的文件，想由此偽裝矇混過關。比如Acid Battery木馬，它會在注冊表項「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下加入
Explorer=「C:\WINDOWS\expiorer.exe」，木馬伺服器程序與系統自身的真正的Explorer之間只有一個字母的差別！

通過類似的方法對下列各個主鍵下面的鍵值進行檢查：
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系統是Windows NT，還得注意HKEY-LOCAL-MACHINE\Software\SAM下面的內容，如果有項目，那極有可能就是木馬了。正常情況下，該主鍵下面是空的。

當然在注冊表中還有很多地方都可以隱藏木馬程序，上面這些主鍵是木馬比較常用的隱身之處。除此之外，象HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run的目錄下都有可能成為木馬的藏身之處。最好的辦法就是在HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主鍵下面找到木馬程序的文件名，再通過其文件名對整個注冊表進行全面搜索就知道它有幾個藏身的地方了。

如果有留意，注冊表各個主鍵下都會有個叫「（默認）」名稱的注冊項，而且數據顯示為「（未設置鍵值）」，也就是空的。這是正常現象。如果發現這個默認項被替換了，那麼替換它的就是木馬了。

4、其它方法

上網過程中，在進行一些計算機正常使用操作時，發現計算機速度明顯起了變化、硬碟在不停的讀寫、滑鼠不聽使喚、鍵盤無效、自己的一些窗口在未得到自己允許的情況下被關閉、新的窗口被莫名其妙地打開.....這一切的不正常現象都可以懷疑是木馬客戶端在遠程式控制制你的計算機。

如果懷疑你現在正在被木馬控制，那麼不要慌張地去拔了網線或抽了Modem上的電話線。有可能的話，最好可以逮到「黑」你的那個傢伙。下面就介紹一下相應的方法：

由「開始->運行」，輸入command，確定，開一個MS-DOS窗口。或者由「開始->程序->MS-DOS」來打開它。在MS-DOS窗口的命令行鍵入「netstat」查看目前已與本計算機建立的連接。如下圖所示：

顯示出來的結果表示為四列，其意思分別為Proto：協議，Local Address：本地地址，Foreign Address：遠程地址，State：狀態。在地址欄中冒號的後面就是埠號。如果發現埠號碼異常（比如大於5000），而Foreign Address中的地址又不為正常網路瀏覽的地址，那麼可以判斷你的機器正被Foreign Address中表示的遠程計算機所窺視著。在對應行的Foreign Address中顯示的IP地址就是目前非法連接你計算機的木馬客戶端。

當網路處於非活動狀態，也就是目前沒什麼活動網路連接時，在MS-DOS窗口中用netstat命令將看不到什麼東西。此時可以使用「netstat -a」,加了常數「-a」表示顯示計算機中目前處於監聽狀態的埠。對於Windows98來說，正常情況下，會出現如下的一些處於監聽狀態的埠（安裝有NETBEUI協議）：

如果出現有不明埠處於監聽（LISTENING）狀態，而目前又沒有進行任何網路服務操作，那麼在監聽該埠的就是特洛伊木馬了！如下圖所示的23456和23457埠都處於監聽狀態，很明顯是木馬造成的。

注意，使用此方法查詢處於監聽狀態的埠，一定要保證在短時間內（最好5分鍾以上）沒有運行任何網路沖浪軟體，也沒有進行過任何網路操作，比如瀏覽網頁，收、發信等。不然容易混淆對結果的判斷。

四、刪除木馬

好了，用上面的一些方法發現自己的計算機中了木馬，那怎麼辦？當然要將木馬刪除了，難道還要保留它！首先要將網路斷開，以排除來自網路的影響，再選擇相應的方法來刪除它。

1、由木馬的客戶端程序

由先前在win.ini、system.ini和注冊表中查找到的可疑文件名判斷木馬的名字和版本。比如「netbus」、「netspy」等，很顯然對應的木馬就是NETBUS和NETSPY。從網上找到其相應的客戶端程序，下載並運行該程序，在客戶程序對應位置填入本地計算機地址：127.0.0.1和埠號，就可以與木馬程序建立連接。再由客戶端的卸除木馬伺服器的功能來卸除木馬。埠號可由「netstat -a」命令查出來。

這是最容易，相對來說也比較徹底載除木馬的方法。不過也存在一些弊端，如果木馬文件名給另外改了名字，就無法通過這些特徵來判斷到底是什麼木馬。如果木馬被設置了密碼，既使客戶端程序可以連接的上，沒有密碼也登陸不進本地計算機。當然要是你知道該木馬的通用密碼，那就另當別論了。還有，要是該木馬的客戶端程序沒有提供卸載木馬的功能，那麼該方法就沒什麼用了。當然，現在多數木馬客戶端程序都是有這個功能的。

2、手工

不知道中的是什麼木馬、無登陸的密碼、找不到其相應的客戶端程序、......，那我們就手工慢慢來刪除這該死的木馬吧。

用msconfig打開系統配置實用程序，對win.ini、system.ini和啟動項目進行編輯。屏蔽掉非法啟動項。如在win.ini文件中，將將[WINDOWS]下面的「run=xxx」或「load=xxx」更改為「run=」和「load=」；編輯system.ini文件，將[BOOT]下面的「shell=xxx」，更改為：「shell=Explorer.exe」。

用regedit打開注冊表編輯器，對注冊表進行編輯。先由上面的方法找到木馬的程序名，再在整個注冊表中搜索，並刪除所有木馬項目。由查找到的木馬程序注冊項，分析木馬文件在硬碟中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目錄下）。啟動到純MS-DOS狀態（而不是在Windows環境中開個MS-DOS窗口），用del命令將木馬文件刪除。如果木馬文件是系統、隱藏或只讀文件，還得通過「attrib -s -h -r」將對應文件的屬性改變，才可以刪除。

為保險起見，重新啟動以後再由上面各種檢測木馬的方法對系統進行檢查，以確保木馬的確被刪除了。

目前也有一些木馬是將自身的程序與Windows的系統程序進行了綁定（也就是感染了系統文件）。比如常用到的Explorer.exe，只要Explorer.exe一得到運行，木馬也就啟動了。這種木馬可以感染可執行文件，那就更象病毒了。由手工刪除文件的方法處理木馬後，一運行Explorer.exe，木馬又得以復生！這時要刪除木馬就得連Explorer.exe文件也給刪除掉，再從別人相同操作系統版本的計算機中將該文件Copy過來就可以了。

五、結束語

Internet上每天都有新的木馬冒出來，所採取的隱蔽措施也是五花八門。在信息社會里，計算機用戶對自己的資料進行保密、防止泄漏也變得越來越重要。防範木馬襲擊也只是提高計算機安全性的一個方面。技術的發展，本文所講述的檢測、刪除木馬方法也總有一天會失效，最主要還是要靠用戶提高警惕，防範所有的不安全事件於未然。.; · 。自*動：程.序:制『作；Q:Q' 250貳貳802玖

『玖』 詳解:如何檢測區域網內是否有arp病毒

如何檢測區域網內是否有 arp 病毒想更好防護 arp 病毒，最好迚行 mac 地址和 ip 地址的綁定！ 如 何檢測區域網內是否有 arp 病毒 關於區域網內 ARP 病毒的本機檢測 方法和檢測工具 病毒發作症狀：計算機網路連接正常，能 PING 通 樓內機器卻無法 PING 通網關、無法打開網頁；戒由於 ARP 欺騙的 木馬程序（病毒）發作時發出大量的數據包，導致網路運行丌穩定， 頻繁斷網、 IE 瀏覽器頻繁出錯以及一些常用軟體出現故障等問題。 網路中斷原因：當區域網內某台主機感染了 ARP 病毒時，會向本局 域網內 （指某一網段， 比如： 172.16.24.0 這一段） 所有主機發送 ARP 欺騙攻擊，讓原本流向網路中心的流量改道流向病毒主機，並通過病 毒主機代理上網。因客戶端具有防代理功能，造成受害者無法通過病 毒主機上網。 由於病毒發作時發出大量數據包會將網路擁塞，大家 會感覺上網速度越來越慢。中毒者同樣如此，受其自身處理能力的限 制，感覺運行速度很慢時，可能會採取重新啟動戒其他措施。此時病 毒短時間停止工作，大家會感到網路恢復正常。如此反復，就造成網 絡時斷時續。 故障診斷辦法：如果用戶發現以上疑似情冴，可以通 過如下操作迚行診斷：點擊開始按鈕-選擇運行-輸入arp -d-點擊確定按鈕，然後重新嘗試上網，如果能恢復正常則說明 此次掉線可能是受 ARP 欺騙所致。 （arp -d命令用於清除並重建本 機 arp 表並丌能抵禦 ARP 欺騙， 執行後仍有可能再次遭受 ARP 攻擊。 ） 本網檢測工具：下載並運行 AntiArp 程序。輸入本網段的網關 ip 地址後，點擊獲取網關 MAC 地址，檢查網關 IP 地址和 MAC 地址無 誤後，點擊自動保護。若丌知道網關 IP 地址，可通過以下操作獲 取：點擊開始按鈕-選擇運行-輸入cmd點擊確定-輸入ipconfig按回車，Default Gateway後的 IP 地址就是網關地址。 AntiArp 軟體會在提示框內出現病毒主機的 MAC 地址。 本機查殺 工具：下載並運行 TSC.EXE 程序。運行過程中丌要關讓它一直運行 到自動關閉，最後查看 report 文檔便知是否中毒。若中毒則建議重 新安裝操作系統。 另：還有個最簡易的辦法，安裝 金山衛士， 一定要開啟 金山ARP 防火牆功能，這方面我就丌多說了，自己看下 應該就會;還可以在安裝金山毒霸、瑞星殺毒等殺毒軟體的時候，選擇 arp 防護開啟 功能！ 一、AntiARP-DNS [主程序] 它包括了對 ARP 和 DNS 欺騙 攻擊的實時監控和防禦， 受到攻擊時會迅速記錄追蹤攻擊者並且控制 攻擊的程度至最低。 能有效防止區域網內的非法 ARP 戒 DNS 欺騙攻 擊，特別是運用於校園網路中。它還能解決被人攻擊之後出現逗IP 沖突地的煩人提示框。如果您的機器是中了 ARP 類病毒，請先下載 專殺工具來解決，本程序只做輔助使用。(強制反 ARP 欺騙，請參考 官方相關文章。) 二、IP-Mac Scan [輔助掃描程序] 它用於區域網 內批量 IP 對應的真實 MAC 迚行掃描， 確保得到准確 MAC 信息。

『拾』 網速慢怎樣才能知道是中病毒還是網路不好呢

看看自己是不是電腦啟動的進程開的太多了，殺毒軟體之類的，也會多少佔用一些網速，還有就是記得經常清理迅雷裡面的歷史下載記錄，如果不清除干凈，會成為BT種子之類的，給別人分享下載，那樣必定佔用咱自己的網速。
還有多配合安全衛士360或優化大師之類的軟體，多給系統做清理和保養，感覺慢了以後可以用用卸載流氓軟體，系統自動優化，清理系統垃圾，關閉沒必要的系統開啟項。

如果懷疑是中毒，可以去安裝個權威的殺毒軟體，全盤掃描一圈就安心了。

還有就是要看自己的網上地點。是否有別人在共享自己的網路，如辦公室。
上網地點附近如果有施工，或者天氣極不好的情況，也會產生網路虛弱，導致速度降低。