木马是一种后门程序_后门木马程序如何启动

名称：AppInit_DLLs 路径：kmon*dll

帮你找了几篇，希望能帮到你。

AppInit_DLLs是注册表内的一个键值 不是文件 不能粉碎

只要将其内容清空即可

注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表

早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

任何操作系统都会在启动时自动运行一些程序，用以初始化系统环境或额外功能等，这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行，这些区域就是“启动项”，不同的系统提供的“启动项”数量也不同，对于Win9x来说，它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys，Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项，分别是:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

到了2000/XP系统时代，DOS环境被取消，却新增了一种称之为“服务”的启动区域，注册表也在保持原项目不变的基础上增加了2个“启动项”:

项目 键名

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run

这么多的启动入口，木马自然不会放过，于是我们经常在一些计算机的启动项里发现陌生的程序名，这时候就只能交由你或者病毒防火墙来判断了，毕竟系统自身会在这里放置一些必要的初始化程序，还有一些正常工具，包括病毒防火墙和网络防火墙，它们也必须通过启动项来实现跟随系统启动。

此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法，那就是“系统路径遍历优先级欺骗”，Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会由系统所在盘符的根目录开始向系统目录深处递进查找，而不是精确定位的，这就意味着，如果有两个同样名称的文件分别放在C:\和C:\Windows下，Windows会执行C:\下的程序，而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会，木马可以把自己改为系统启动时必定会调用的某个文件名，并复制到比原文件要浅一级以上的目录里，Windows就会想当然的执行了木马程序，系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”，因为无论哪个Windows版本的启动项里，它都是没有设置路径的。

要提防这种占用启动项而做到自动运行的木马，用户必须了解自己机器里所有正常的启动项信息，才能知道木马有没有混进来。至于利用系统路径漏洞的木马，则只能靠用户自己的细心了。

根除木马——文件并联型木马的查杀

某些用户经常会很郁闷，自己明明已经删除了木马文件和相应的启动项，可是不知道什么时候它自己又原封不动的回来了，这还不算，更悲惨的是有时候杀掉某个木马后，系统也出了故障:所有应用程序都打不开了。这时候，如果用户对计算机技术的了解仅限于使用杀毒软件，那可只能哭哭啼啼的重装系统了!

为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单，因为这种木马修改了应用程序(EXE文件)的并联方式。

什么是“并联方式”呢?在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内，当系统收到一个文件名请求时，会以它的后缀名为依据在这里识别文件类型，进而调用相应的程序打开。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“"%1" %*”，让系统内核理解为“可执行请求”，它就会为使用这种打开方式的文件创建进程，最终文件就被加载执行了，如果有另外的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”，运行程序时系统就会先为“木马程序”创建进程，把紧跟着的文件名作为参数传递给它执行，于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序，使得它可以长期驻留内存，每次都能恢复自身文件，所以在一般用户看来，这个木马就做到了“永生不死”。然而一旦木马程序被删除，Windows就会找不到相应的调用程序，于是正常程序就无法执行了，这就是所谓的“所有程序都无法运行”的情况来源，并不是木马更改了系统核心，更没必要因此重装整个系统。

根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序，立即停止这个程序的进程，如果它还产生了其他木马文件的话，也一起停止，然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件，把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。

如果删除木马前忘记把并联方式改回来，就会发现程序打不开了，这时候不要着急，如果你是Win9x用户，请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式，把Explorer.exe随便改个名字，再把REGEDIT.EXE改名为Explorer.exe，再次重启后会发现进入Windows只剩下一个注册表编辑器了，赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。

对于Win2000/XP用户而言，这个操作更简单了，只要在开机时按F8进入启动菜单，选“命令提示符的安全模式”，系统就会自动调用命令提示符界面作为外壳，直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启，直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。

追回被盗的系统文件

除了添加自己到启动项、路径欺骗和更改文件并联以外，一般的木马还有一种伎俩可以使用，那就是替换系统文件。由于如今的操作系统都是由许多文件共同构造的，并不是所有用户都能明白系统文件夹里每个文件的作用，这就给了木马可乘之机，它们盯上了系统里那些不会危害到系统正常运行而又经常会被调用的程序文件，像输入法指示程序internat.exe、让动态链接库可以像程序一样运行的rundll32.exe等。木马先把系统原来的文件改名成只有它们自己知道的一个偏僻文件名，再把自己改名成那个被替换的文件，这样就完成了隐藏极深的感染工作，从此只要系统需要调用那个被替换的程序进行工作，木马就能继续驻留内存了。那么文件被替换会不会导致系统异常呢?只要木马没有被删除，就不会造成系统异常，因为木马在作为原来的程序而被系统启动时，会获得一个由系统传递来的运行参数，这就是系统要求该程序工作的关键所在，木马会直接把这个参数传递给被改名的程序执行，像接力比赛那样完成数据操作，这样在系统看来就是命令被正常执行了，自然不会出现异常。但是也因为这样的特性导致木马被查杀后，系统的某些命令无法传递到本该执行操作的程序中，反而让系统出错了。

要修复它其实很简单，只要记住这个木马的文件名，在删除它之后再从系统光盘复制一个“原配”文件就可以了，如果没有系统光盘，就必须通过工具追踪木马传递参数的目标程序名，再把它改回来。

qhbpri木马（AppInit_DLLs）专杀工具

【qhbpri木马简介】

1.变名，变形，大量自我复制（*pri.dll，前面为变名字母），躲避杀毒软件查杀，普通方式无法彻底清除

2.非法修改Windows注册表AppInit_DLLs达到优先启动的效果。

3.隐蔽插入到其他程序进程，普通方式难以查杀。

4.下载其他木马，与木马指定的服务器通讯，泄露用户隐私，盗窃网络财产帐号。

5. 360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】C:\WINDOWS\system32\kvdxbma.dll

qhbpri木马专杀（9月4日更新版本）：

HTTP下载：

手动的方法

1、启动注册表：

开始——运行——键入：REGEDIT——打开注册表

按照360提示的位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 找到“AppInit_DLLs”

把“AppInit_DLLs”改成“0”（注意：删除没有用，会自动重建。）

2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统

appinit_dlls是什么？

appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ，appinit_dlls是不是病毒呢？

注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表

早期的进程插入式木马的伎俩，通过修改注册表中的

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达

到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利

用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的

稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

appinit_dlls分析：

最近很多人发现有appinit_dlls这个文件，查查看你的电脑是否安装了木马克星，再查看appinit_dlls

的数值是什么，如果是 APIHookDll.dll ，那你的电脑没有中毒，这个只是木马克星的文件，不用担心

。

如果不是，说明你中毒了，可以参考以下办法清除appinit_dlls病毒。

appinit_dlls病毒清除办法：

appinit_dlls病毒DLL型后缀病毒的手工杀毒的方法教程：

这类病毒大多是后门病毒，这类病毒一般不会把自己暴露在进程中的，所以说特别隐蔽，比较不好发现

。启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那DLL

后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可

以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe和 Svchost.exe，

即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了

解了，但是不是后缀是DLL就是病毒哦，也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担

心，因为他们不一定就是病毒，所以说这个病毒比较隐蔽，下边来介绍几种判别办法：

1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\

CurrentVersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统

正在运行在 Svchost.exe列表中的服务的方法。以Windows XP为例：在“运行”中输入：cmd，然后在命

令行模式中输入：tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令

替换为：“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通

过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:\Windows\System32”目录下

的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。

2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在

Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。比如Windows优

化大师中的Windows 进程管理 2.5。这样，可以发现进程到底饔昧耸裁碊LL文件.

3/普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口

。我们可以用netstat –an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的

端口心中有数，并对netstat –an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的

进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。

4/最关键的方法对比法。安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打

开CMD，来到 WINNTsystem32目录下，执行：dir *.exeexe.txt dir *.dlldll.txt，这样，就会把

所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备

份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txtexedll.txt

fc dll.txt dll0.txtexedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果

保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，

创建时间来判断是否是DLL后门。

DLL型病毒的清除方法

1/ 在确定DLL病毒的文件的话请尝试下边方法

移除方法：

1. 开始——运行——输入"Regedit"

2. 搜索"*.dll"

3. 删除搜索到的键值。

4. 重启

5. 转到C:\Windows\System32\

6. 删除*.dll

2/到注册表下列地方寻找DLL的踪迹

HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost

3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运

行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效

的

appinit_dlls病毒清除另外一种方法:

一、须准备的刑具

Windows清理助手

恶意软件清理助手

360安全卫士

二、注册表启动命令：REGEDIT

三、磨刀霍霍卷袖动手——杀！！！！

1、启动注册表：

开始——运行——键入：REGEDIT——打开注册表

按照360提示的位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

找到“AppInit_DLLs”

把“AppInit_DLLs”改成“0”（注意：删除没有用，会自动重建。）

2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统

“恶意软件清理助手”清理：“恶意软件清理”、“注册表项清理”、“临时文件清理”

其中“注册表项清理”我没有耐心清理完

因为有几项好像清理不掉

“Windows清理助手”使用了“定制扫描”项

四、清理完毕，重启电脑

一切OK！

手无寸铁轻易清除“dll后门木马”

一直以来，我们都认为木马是以exe结尾的可执行文件，只要不运行exe为后缀的文件就可以了。但如果木马都这么容易辨别，那就不能称为木马了。事实上有很多木马都不是以exe为后缀的，例如著名的后门木马工具bits，就是一款dll后门，整个后门程序只有一个dll文件，但却可以实现非常恐怖的效果。那么dll后门木马是如何运作的?我们又该如何清除dll后门木马呢?请看本文。

★编辑提示：dll后门木马的来历

dll(Dynamic

Link

Library)即系统的动态链接库文件。dll文件本身并不可以运行，需要应用程序调用。当程序运行时，Windows将dll文件装入内存中，并寻找文件中出现的动态链接库文件。dll后门木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成dll文件。我们都知道正在运行的程序是不能关闭的，而dll后门木马会插入到这个应用程序的内存模块中，因此同样同样无法删除，这就是dll后门木马的高明之处。

dll后门木马通常只有一个文件，依靠动态链接程序库，由某一个EXE作为载体，或者使用Rundll32.exe来启动，插入到系统进程中，达到隐藏自身的目的。因此dll后门木马在隐藏技术上比普通木马有了质的飞跃，当然危害性也就大大增加了。

dll后门木马的运作方式

dll后门木马的危害主要分为两方面：1.隐蔽性，由于其可以“寄宿”于任一应用程序的进程，包括系统进程，因此我们很难发现其存在。2.难删除：上文中我们提到被dll后门木马插入的进程是无法结束的，因此要想清除并不容易。

我们来结合实际看看dll后门木马的使用和运作过程。bits是一款著名的dll后门木马，其具备了dll后门木马的所有特点，没有进程，也不开启端口，隐蔽性很强，是dll后门木马的代表。

bits的安装

bits只有一个dll文件——bits.dll。点击“开始”→“运行”，输入“rundll32.exe

bits.dll,install

123456”即可成功让bits进驻系统。

▲安装bits

bits的使用

假设运行bits的计算机IP地址为192.168.0.1，黑客可以使用一款网络工具nc,在“命令提示符”中运行nc后输入命令“nc

192.168.0.1

80”。回车后会发现没有回显，此时我们需要输入“123456@dancewithdolphin[xell]:777”才能命令bits。这条命令的作用是绑定一个shell到本机的777端口，此时黑客再连接目标主机的777端口就可以在目标计算机上执行任意命令了。一般的dll后门木马都需要类似的安装和使用，虽然比普通木马要来得麻烦，但是威力是相当大的。

▲连接bits开启后门

清除木马

bits的清除还是比较简单的，首先运行注册表编辑器，定位到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters，将

ServiceDll的键值更改为“%SystemRoot%System32rasauto.dll”即可，然后将系统目录system32文件夹下的bits.dll删除即可。

▲清除bits

dll后门木马的防范

1、当系统存在问题时，我们可以查看进程中的dll文件，找出隐藏在其中的dll后门木马。查看进程中的dll文件可以使用Windows优化大师的进程管理功能，点击进程后，在下方会出现该进程中包含的dll文件，如果是系统进程，那么其dll文件的发行商都应该是“Microsoft”，否则就很有可能是dll后门木马。找到dll后门木马后将进程结束，再根据路径将dll后门木马删除即可。

2、及时更新杀毒软件。dll后门木马虽然和普通木马不同，但仍旧是木马，还是可以被杀毒软件查杀的，只要我们及时升级杀毒软件病毒库，对防范dll后门木马还是有很大帮助的。

木马怎样启动?

多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具体位置在：HKEY_LOCAL _MACHINE/Software /Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER/Software/ Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_USERS/Default/Software/Microsoft/Windows/CurrentVersion下所有以“Run”开头的键值。

不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:

●在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是: run=c:/windows/file.exe或load=c:/windows/file.exe，要小心了，这个file.exe很可能就是木马。

●在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径/程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

●在Autoexec.bat和Config.sys中加载运行

这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。

●在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

●启动组

木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: /Windows/Start Menu/Programs/StartUp，在注册表中的位置:HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion/Explorer/Shell Folders Startup="C:/windows/start menu/programs/startup"。

●*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

●修改文件关联

修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT/文件类型/shell/open/command主键，查看其键值是否正常。

●捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次Windows启动均会启动木马。

木马!-=>后门程序[变种] #13727

中了病毒、木马不要着急，我来帮你：

这里的方法是总结的前辈们的经验，在此感谢他们！！！！！

其实中毒后的处理方法就是那么几种，但是借助杀毒软件用手工方法处理是最为有效的！！！！

木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！

由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：

1.)检查注册表

看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

2.)检查启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell

Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！

3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方

比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。

4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里

C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。

5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。

6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动

所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

另外，你也可以试试用下面的办法来解决：

从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用。

这个是下载地址。

这个是它的详细用法。

一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是无法遁身的。开启的非法进程会以红色显示出来。

至于杀毒软件，应该说各人有各人的喜好，下面给出的链接上你看看比较一下：

六款主流杀毒软件横向评测

消费者该如何选择？六款杀毒软件横向评测(这个要详细些)

木马如何实现开机自动运行

你好，木马要实现开机启动，有数种途径，最常见的是注册表，主要涉及到的注册表子键有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、RunOnce、RunServices子键右侧窗口中的键值，HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、RunOnce、RunServices子键右侧窗口中的键值，容易涉及到映像劫持的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options子键下的各个子键，尤其是涉及到杀毒软件名称及重要HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks子键右侧窗口中的键值，及HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中的Userinit键值也是容易被篡改的对象，如果是XP系统，还要提防HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows右面窗口中的AppInit_Dlls键值内容是否被篡改，这个键值内容默认为空。有些是以驱动程序形式进行加载，不过这些都难不倒腾讯电脑管家，你在“杀毒”选项中点击闪电查杀之时，电脑管家就会自动扫描这些系统关键位置，发现可疑注册表项目就会提示你进行修复。当然，一旦感觉可能中了病毒木马，最好是点击一下全盘查杀，将其它位置的文件也一并检查了。当然，你也可以自行在电脑管家的“电脑加速”中点击启动项查看，发现可疑的可以直接将其设置到已禁用。

还有是加载到服务项中，其实这也是涉及到注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentContrlset\Services子键下的各个子键，只是这里面的东西实在太多，不能随便删除，操作不当的话，你的电脑就瘫痪了。你可以在电脑管家的电脑加速中点击服务项，仔细查看可疑的服务项，将其设置为已禁用。

木马的启动项还可能会加载到计划任务中，你在电脑管家的电脑加速中点击计划任务，也同样可以查看可疑的计划任务项并设置为已禁用。

不过木马的模块也可能会插入到系统进程，如Explorer.exe中以实现自身的自动启动，遇有这种文件，你可以点击右下角的工具箱，选择文件粉碎，点击添加文件按钮，添加木马模块文件，然后点击粉碎按钮。

如果你还有其它电脑问题，欢迎你在电脑管家企业平台提出，我们将尽力为你解答。