木馬查殺防範秘技紅寶書

如今木馬數量眾多，傳播方式也多種多樣，讓你防不勝防，只要你能上網，就有可能中彈落「馬」！目前木馬大致可分成五大類：即網游、廣告、通訊、後門和網銀類。其中以盜竊密碼的木馬危害性最大，例如利用木馬盜竊你的網游帳號密碼、股票帳號密碼、乃至網上銀行的資金，給許多朋友帶來了巨大的經濟損失。為了幫助大家遠離可惡的木馬，下面我們全面介紹木馬防範、查找、清除方面的知識。

　　木馬防範技巧篇

　　清除木馬不如平時預防，「防患於未然」是保護系統安全的上策，大家平時就應該有強烈的木馬防範意識，建議你採取以下措施，把木馬拒之門外：

　　一、關閉本機中不用的埠

　　關閉本機不用的埠，這是防範木馬的第一道防線。默認情況下Windows有很多埠是開放的，在你上網的時候，木馬、病毒和黑客就可以通過這些埠連上你的電腦，為了保護你的系統，應該封閉這些埠，主要有：TCP 139、445、593、1025 埠和 UDP123、137、138、445、1900 埠，一些流行木馬病毒的後門埠（如 TCP 2513、2745、3127、6129 埠），以及遠程服務訪問埠3389。

　　其中137、138、139、445埠都是為共享而開的，是NetBios協議的應用，你應該禁止別人共享你的機器，所以要把這些埠全部關閉，方法是：單擊「開始」/控制面板/系統/硬體/設備管理器，單擊「查看」菜單下的「顯示隱藏的設備」，單擊「非即插即用驅動程序」，找到Netbios over Tcpip禁用該設備，重新啟動后即可。

　　關閉UDP123埠：單擊「開始」/設置/控制面板，雙擊「管理工具」/服務，停止windows time服務即可，關閉UDP 123埠，可以防範某些蠕蟲病毒。

　　關閉UDP1900埠：在控制面板中雙擊「管理工具」/服務，停止SSDP Discovery Service 服務即可。關閉這個埠，可以防範DDoS攻擊。

　　其他埠你可以用網路防火牆關閉之，或者在控制面板中，雙擊「管理工具」/本地安全策略，選中「IP 安全策略，在本地計算機」，創建 IP 安全策略來關閉這些埠。

　　二、刪除系統中無用的帳號

　　進入MS-DOS模式，輸入命令net user回車，顯示本地計算機上有哪些用戶賬戶；如果有無用的帳號（例如lacl），就刪除該帳號，輸入命令net user lacl /delete回車即可（注意參數「/」的左邊，至少要保留一個空格）

　　其中Guest和Administrator這兩個帳號，是不允許刪除的，但你應該修改它們的密碼，為它們設置新的密碼，例如鍵入命令net user Guest abc123回車，把Guest的密碼改為abc123。

　　三、勤升級殺毒軟體，啟用隱私保護

　　在網吧等公共場所上網時，你一定要選擇有殺毒軟體保護的正規網吧，以免自己的遊戲帳號被盜，要知道「網吧傳奇殺手」在任一台機器上運行，即可竊取網吧內全體玩家的傳奇帳號密碼！注意查看網吧安裝的殺毒軟體，瑞星殺毒軟體16.35.20以上版可以徹底查殺「網吧傳奇殺手」病毒。另外，遊戲前一要查殺自己的電腦，下網前一定要更換自己的密碼，下次遊戲時使用新密碼。

　　如果你在家上網，應該安裝帶有隱私信息保護的殺毒軟體（例如KV2004、諾頓安全特警等），注意及時升級到最新病毒庫，打開病毒實時監控，因為有些比較厲害的木馬，如果殺毒軟體未升級到最新版是查不出來的。

　　此外，你還要啟動殺毒軟體的隱私信息保護監視功能，將網游賬號及密碼設為隱私保護狀態，這樣即使你不小心中了木馬，也不用擔心帳號、密碼被木馬竊取。例如在KV2004中設置方法是：

　　點擊「工具」/選項菜單，點擊「實時監控」，鉤選「隱私保護」；單擊「隱私保護設置」按鈕，隨後彈出一個窗口，在「檢測到私密信息后處理方式」一欄選擇「禁止發送私密信息」，然後單擊「增加」按鈕（如下圖1），添加要保護的帳號和密碼。添加時，在「私密信息類型」中選擇「用戶定義」，在「私密信息內容」中輸入帳號（或密碼）的前幾位或中間幾位，最後任意輸入用戶等信息，按「確定」完成。

　　

　　完成以上「隱私保護」監視功能的設置以後，如果你的電腦中帳號、密碼被不明程序向外傳輸，這時候KV2004的「隱私保護」監控就會發出警報，這樣即可有效阻止木馬、黑客程序盜取用戶密碼等機密文件。

　　四、使用第三方防火牆，鎖住你的密碼

　　安裝使用防火牆，是防範木馬的很好方法。由於WinXP自帶的放火牆和ADSL貓的NAT方式，不能阻擋從內到外的連接，因此建議使用第三方防火牆，只要你發現可疑程序向外連接，就可以在防火牆中，把它設置成不允許訪問網路，阻擋木馬從內到外的連接。

　　建議你安裝使用ZoneAlarm Pro、諾頓安全特警、天網防火牆、金山網鏢6等第三方防火牆，這類防火牆各大網站都有下載。其中金山網鏢6有一個獨特功能，就是可以檢查你的系統是否有漏洞，如果查出漏洞，它還會讓你下載安裝補丁、堵住漏洞。建議你上網前用它檢查一下，然後再啟動第三方防火牆上網。下面我們介紹ZoneAlarm Pro使用方法，其他防火牆限於篇幅，我們就不展開介紹了。

　　軟體小資料

　　最新版本：ZoneAlarm Pro 5.5.062.004

　　軟體大小：6499KB

　　運行平台：WinXP/2000/NT/Me/9X

　　下載地址：http://dlc.pconline.com.cn/filedown.jsp?id=55555&dltypeid=1

　　漢化補丁下載：http://dlc.pconline.com.cn/filedown.jsp?id=54592&dltypeid=1

　　ZoneAlarm是目前最優秀的個人綜合防火牆，與其他個人防火牆軟體相比，ZoneAlarm佔用資源少，能保護個人隱私安全，防範木馬把你的遊戲帳號、密碼向外發送。此外，它對應用程序的控制也更安全，即使策略允許通過，它也要檢查應用程序訪問設置；其專家級的規則制定功能也更加強大，可以控制到MAC級別，能夠定義組、時間控制和控制到數據鏈路層，在目前所有的個人防火牆中，只有ZoneAlarm能夠控制到數據鏈路層。

　　（1）用ZoneAlarm防範木馬方法

　　ZoneAlarm防火牆具有三個安全級別（高、中和低），分成信任、封鎖和 Internet三個區域。單擊「防火牆」/常規，把「Internet安全防護」調到「高」（如下圖2），這樣你的電腦在網路上就隱藏起來了，而且別人還不能使用你的共享資源。

　　

　　單擊「警報/日誌」查看本機以前曾受到哪些攻擊（如下圖3），例如圖中網際網路上213.7.104.171的電腦試圖連接本機的139埠，被防火牆攔截，我們應該永遠禁止它連接，把它添加到封鎖區域，點擊等級為「高」記錄，右擊滑鼠選擇菜單「添加區域」/封鎖，把對方的IP添加到封鎖區域。對付惡意網站，你可以把它添加到封鎖區域，禁止它以後攻擊你的電腦。

　　

　　小提示：如果發現可疑的IP要求連接你的電腦，你應該把該IP添加到封鎖區域、禁止它連接，對於同一個區域網中的電腦，應該把它加到信任區域，以便別人能共享你電腦中的資源。

　　在「程序控制」中，你可以設置4個安全級別來管理應用程序和組件。如果設置為「低」級別，程序和組件都可以直接訪問網路；「中」級別時，程序需要確認才能訪問網路，組件可直接訪問網路；設置為「高」級別，程序和組件都需要確認才可訪問網路。

　　單擊「程序控制」/常規，把「應用程序控制」調為「高」（如下圖4），「警報建議」調為「自動」，開啟「自動封鎖」，以便你在指定時間或屏幕保護時，能自動鎖定網路。

　　

　　單擊「程序控制」/程序，為每一個應用程序設置許可權。應用程序的許可權包括訪問許可權、服務許可權和發送郵件許可權（如下圖5），訪問許可權表示能否主動訪問外部對象，服務許可權表示是否允許開啟服務埠，提供給外人連接。圖中綠色的「√」表示允許連接；紅色的「×」為禁止連接；「？」表示每次出現連接企圖時，都會先提出詢問。你應該按右下方的「添加」按鈕，把常用的軟體（例如IE、Word、outlook等）都添加進來，然後單擊小圖標，為每個許可權設置「允許」、「封鎖」或「詢問」，例如把Foxmail設置為允許發送郵件和向外訪問，但禁止服務許可權，把懷疑為木馬的程序，都設置成不允許訪問網路，這樣就能阻擋木馬從內到外的連接。

　　

　　最後單擊導航條中的「病毒監控」，開啟病毒監控，單擊「郵件防護」，啟用附件保護和寄出電子郵件保護。

　　（2）防範惡意網頁

　　為了阻止下載惡意網頁和電子郵件，保護機器的安全，你可以在「隱私保護」中，把「活動碼控制」設為「開啟」，然後點擊右邊的「自定義」（如下圖6），設置封鎖MIME對象、嵌入對象（Java和ActiveX）。

　　

　　（3）保護你的密碼

　　有些木馬會偷偷記錄你鍵盤輸入的各種密碼，然後發送給它的主人，只要你在ZoneAlarm中如下設置，即可阻止木馬發送你的密碼。

　　設置方法：單擊「ID鎖」，在「常規」選項卡中，把「ID封鎖」調為「高」；然後打開「個人隱私」選項卡（如下圖7），點擊「添加」按鈕，輸入要保護的帳號、密碼，把你的密碼全部添加進去。這樣以後一旦你的密碼向外發送，ZoneAlarm就會報警，即使對方收到密碼，也全部都是「*」而無法閱讀。

　　

　　五、在線安全檢測

　　及時發現並堵住系統中的漏洞，也是很好的防範木馬措施。你可以用金山網鏢 6 增強版（http://db.kingsoft.com/）檢測系統中是否有漏洞，如果有，就安裝補丁堵住漏洞。此外，你也可以在網上找個在線安全測試的網站，對你的系統當前安全情況進行檢查，不過在線檢測前，請關閉你的防火牆。目前這類測試各網站都是免費的，建議你去下面知名的網站測試：

　　（1）諾頓在線安全檢測http://www.symantec.com/region/cn/

　　諾頓是網路安全的鼻祖，它的風險評估是非常及時和全面的。該網站提供了活動的木馬程序掃描，利用木馬常用的方法嘗試與你的電腦進行Internet 通信；它還可以掃描你的網路漏洞、NetBIOS可用性，確定黑客是否能訪問你機器中的信息。掃描完成後，會顯示詳細的分析結果。

　　（2）金山木馬專殺http://scan.kingsoft.com/scan_mm.htm

　　著名的殺毒廠商金山公司提供的在線木馬專殺服務，目前該服務完全免費。

　　（3）天網安全在線http://old.sky.net.cn/main/view.php?cid=170

　　可進行木馬檢測、埠掃描、信息泄漏檢查、系統安全性檢查。檢測時會出現倒計時，在倒數時間內，如果你的電腦出現藍屏死機，則表示你的電腦不安全，你可以下載該網站提供的個人電腦網路安全軟體，來修補目前的安全漏洞。

　　（4）千禧在線--在線檢測http://www.china-yk.com/tsfw/onlineclean/index.asp

　　免費檢查你的電腦有那些埠開放或關閉，是否有木馬；與「北京趨勢科技」合作，提供了在線按需掃描病毒服務。

　　（5）藍盾安全在線http://www.haodx.com/url/1673.htm

　　藍盾安全實驗室研製、開發的在線安全檢測

　　六、其他防範措施

　　上網時要特別注意，木馬無處不在！盡量避免將遊戲帳號暴露在公眾論壇和其他網站；不要隨意下載來歷不明的文件，只下載使用官方的升級程序，特別是一些所謂的女神外掛遊戲程序；不要接收陌生人的郵件，如果有附件，也不要打開附件，更不要執行附件中的可執行程序，注意病毒程序偽裝的圖標，不要輕信圖標為「電子表格、文本文件、文件夾」的附件。

　　設置密碼時應該盡量複雜一點，最好設置為8位數以上的字母、數字和其他符號的組合。如果能申請密碼保護，就盡量申請設置安全碼，注意安全碼不要和密碼設置的一樣。如果你沒有設置安全碼，那麼別人一旦破解了你的密碼，就會去修改你的密碼和註冊資料，你的帳號就是別人的了。

　　在鍵入傳奇帳號密碼時，你可以採取亂序輸入法。譬如密碼是abcd2003，輸入時不要按順序一次輸入，這樣鍵盤會被木馬直接記錄下來！你可以先輸入「003」，然後把游標移到最左邊再輸入abcd2，這樣你輸入的密碼依然是「abcd2003」，但木馬記錄的卻是「003abcd2」，從而保護了密碼。

　　此外，輸入帳號密碼時，也可以採取複製粘貼法。即打開記事本，新建一個文本文件，鍵入密碼后複製，然後關閉文本文件（不要保存）。當要輸入密碼時，用「Ctrl+V」把密碼粘貼到密碼欄里，這樣木馬就不能把你的鍵盤輸入記錄下來。當然你也可以準備兩個常用的密碼，在登陸遊戲時交替使用。本次輸入一個密碼，登陸遊戲使用完畢后，立即更改一下密碼，下一次就用新密碼登陸。　　

　　手工查找木馬技巧篇

　　如果你中了木馬，也不必驚慌失措，可以用反木馬軟體查殺。對於新木馬，假如反木馬軟體也不能查殺，你可以手工查殺，自己動手找到木馬的藏身之處，然後清除之，具體方法是：

　　一、啟動任務管理器

　　按Ctrl+Alt+Del鍵啟動任務管理器，點擊「進程」選項卡（如下圖8），查看其中是否有陌生進程，記錄下來，暫時別動它。

　　

　　二、使用進程查看工具

　　有些木馬運行后，你在任務管理器中看不到它的進程，這時候你可以使用專門的進程查看工具，例如進程殺手、IceSword、柳葉擦眼、系統查看大師、WinProc等，用它們來檢查系統中的進程，看看有沒有可疑的進程，如果發現可疑進程立刻封殺之，例如常見的木馬進程如下:

　　

　　進程查看工具下載地址：

　　WinProcV1.32 http://ks.onlinedown.net/down/winproc1.32.zip

　　系統查看大師V1.0 http://xj-http.skycn.net:8080/down/xpprocess.exe

　　柳葉擦眼V4.0 http://www.skycn.com/soft/4507.html

　　IceSwordV1.04 http://download.pchome.net/php/dl.php?sid=18523

　　進程殺手V2.5 http://sc-down.downloadsky.com/down/prockiller_25.rar

　　三、用Tcpview觀察連接情況

　　使用Tcpview （下載地址http://xj-http.skycn.net:8080/down/tcpview.zip）、Active Ports等軟體，觀察計算機的進程和埠。一旦發現可疑的進程，有可疑的埠打開了，就要立即關閉它。建議你經常用Tcpview檢查連接情況（如下圖9），這樣就能隨時發現哪個連接有可能是非法連接。

　　

　　例如圖9中本機打開了TCP 135和2513兩個埠，這兩個埠正在監聽、等待外界的連接。其中TCP 135埠是RPC服務打開的埠，一般不要通過停止RPC服務來關閉，因為如果你把RPC服務停掉，雖然可以關閉135埠，但是計算機也關機了。衝擊波病毒利用的就是135埠，為了防範黑客利用該埠攻擊，建議你使用第三方防火牆，設置外界不能連接本機的135埠，這樣來堵住135埠。

　　另外，圖9中TCP 2513埠是灰鴿子（GrayPigeon.exe）打開的，這裡有個常識請你記住，如果你發現TCP協議的linsten在1025埠以上，則可能是木馬，你就要警惕了。圖中GrayPigeon.exe打開了本機的TCP 2513埠監聽，採用主動連接方式（非反彈連接），等待遠方電腦的連接，可以斷定這是非法連接。

　　此時你應該右擊該連接，選擇連接屬性，記錄下執行文件GrayPigeon.exe的名稱和位置，然後選擇「End Process」結束連接，最後再刪除對應的執行文件。

四、檢查與啟動相關的文件

　　（1）檢查啟動組

　　啟動組是木馬藏身的好地方，WinXP啟動組對應的文件夾為：C:\Documents and Settings\帳戶\「開始」菜單\程序\啟動，在註冊表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders，右邊窗口中Startup的值為"C:\Documents and Settings\帳戶\「開始」菜單\程序\啟動"，你應該檢查這些地方。

　　（2）檢查Autoexec.bat、Config.sys和Winstart.bat

　　Autoexec.bat和Config.sys都位於C盤根目錄下，在它們中也可以載入木馬程序，但這並不多見，你不能掉以輕心，最好檢查一下。

　　Winstart.bat通常由應用程序及Windows自動生成。它是一個類似Autoexec.bat的批處理文件，在執行了Win.com並載入了多數驅動程序之後開始執行。Winstart.bat中也可以隱藏木馬，因此你要打開它檢查。

　　（3）檢查Win.ini和System.ini

　　Win.ini位於Windows的安裝目錄下，其[windows]欄位中有啟動命令「load=」和「run=」，通常「=」後面是空白的，如果後面跟著程序，比如：run=c:\windows\spy.exe load=c:\windows\spy.exe ，這個spy.exe很可能就是木馬程序！

　　System.ini位於Windows的安裝目錄下，其[boot]欄位的shell=Explorer.exe是木馬喜歡的載入之處，木馬通常會將該句變為這樣：shell=Explorer.exe spy.exe，注意這裡的spy.exe就是木馬服務端程序！ 檢查System.ini中的[386Enh]欄位，此段內的「driver=路徑\程序名」，也是木馬經常隱藏的地方；檢查System.ini中的[mic]、[drivers]、[drivers32]三個欄位，它們也是添加木馬的好場所。

　　五、檢查系統目錄中文件

　　木馬也可能藏在系統目錄中。啟動資源管理器，點擊「工具」/文件夾選項/查看，設置顯示全部文件（包括受保護文件），不要隱藏已知文件的擴展名，然後打開Windows\ 及 Windows\system32目錄中的文件，按建立時間排序，找出建立時間或修改時間異常的程序，記錄下來。

　　六、在註冊表中檢查

　　單擊「開始」/運行，鍵入Regedit打開註冊表，檢查其中是否有木馬，記錄下來，暫時不要更改。

　　（1）檢查自啟動項

　　查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以「Run」開頭的鍵值，檢查其中是否有程序，木馬喜歡藏在這些位置。

　　此外，使用組策略也能讓木馬在系統登錄時自動啟動（方法如下），該方法添加的自啟動程序也被記錄在註冊表中，但是非以上介紹的那些註冊表位置。如果你懷疑自己中了木馬，在上面的註冊表項中又找不到它，建議你檢查註冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項，或是進入「組策略」的「在用戶登錄時運行這些程序」，看看其中有無啟動的程序。

　　組策略添加自啟動木馬程序的方法：在「開始→運行」中執行「Gpedit.msc」打開「組策略」，展開「本地計算機策略→用戶配置→管理模板→系統→登錄」，雙擊「在用戶登錄時運行這些程序」子項，選定「設置」項中的「已啟用」項，單擊「顯示」按鈕彈出「顯示內容」窗口，再單擊「添加」按鈕，在「添加項目」窗口內的文本框中，輸入要自啟動的木馬程序路徑即可。

　　（2）檢查文件關聯是否被修改

　　國產木馬還喜歡修改文件關聯，例如TXT文件通常是由記事本（Notepad.exe）來打開的，如果你中了國產木馬冰河之後，則會被修改為用木馬程序打開，因此只要你一打開文本文件，就會自動啟動木馬。

　　木馬修改文件關聯的方法是：修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將「C:\WINDOWS\NOTEPAD.EXE %1」改為「C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1」來完成的。

　　注意：木馬不僅僅只會修改TXT文件的關聯，有時還可能修改HTM、EXE、ZIP、COM等文件的關聯。因此對付這類木馬，你應該檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值是否正常。

　

　　木馬清除技巧篇

　　一、使用反木馬軟體清除木馬

　　使用專門的反木馬軟體，及時升級軟體和病毒庫，這是查殺木馬最簡單的方法。目前反木馬軟體數量眾多，著名的有金山毒霸木馬專殺、木馬剋星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木馬清除大師等。

　　（1）金山毒霸木馬專殺

　　軟體版本：2004.9.27.2

　　軟體大小：9.06 MB

　　下載地址：http://www.pcsky.cn/download/SoftDown.asp?ID=14109

　　金山木馬專殺是一個木馬專殺工具（能查殺2萬多種木馬），可以有效地保護你的QQ號碼、網游以及網路支付安全，快速清除遠程控制型、盜取密碼型、進程注入型木馬以及反彈埠型木馬。如果你要查殺激活狀態的木馬，可以單擊「快速掃描」按鈕（如下圖10），即順序掃描內存、註冊表、系統所在目錄下的系統文件夾、程序文件和個人保存信息使用的臨時文件夾，查殺激活狀態的木馬。完全掃描對機器所有位置都進行掃描，包括內存、註冊表、與之相連的軟盤、光碟、閃盤以及所有硬碟，因此也是最安全的掃描，可以清除系統中所有的木馬。

　　

　　（2）木馬剋星（Iparmor）

　　軟體版本：5.46

　　軟體大小：3709KB

　　下載地址：http://www.pcdog.com/down/tu.exe

　　木馬剋星（如下圖11）是國人開發的一款防殺木馬的軟體，擅長查殺國產木馬、對查殺最近非常流行的網路神偷、網吧殺手、鍵盤幽靈以及捆綁在圖片文件中的木馬非常有效。它體積不大（安裝文件只有3.7MB），可以用快閃記憶體隨身攜帶，方便你在網吧電腦中安裝使用。另外，木馬剋星還可以讓你輕鬆地監視系統中當前運行的各個進程、網路狀態、系統共享情況等，防止木馬的入侵。

　　

　　單擊「系統進程」，你可以查看系統中有哪些進程在運行，用滑鼠左鍵點取后，再用鍵盤上的「Delete」鍵即可刪除進程；而「網路狀態」里，則可以看到目前的網路情況，如果tcp協議的linsten在1025埠以上，則可能是木馬，大家就要警惕了。

　　（3）The Cleaner Professional

　　軟體版本：4.1

　　軟體大小：4519KB

　　下載地址：http://antivirus.pchome.net/php/dl.php?sid=15372

　　The Cleaner Professional 是MooSoft公司開發的查殺木馬軟體，可以查殺各種木馬、蠕蟲、鍵盤記錄機、間諜程序等。軟體包括Cleaner、TCActive、TCMonitor等組件，其中Cleaner專門查殺木馬等病毒，TCActive用來顯示當前正在運行的所有進程，TCMonitor負責後台監視系統文件和註冊表是否被修改，如果發現被修改即報警。

　　（4）TrojanHunter

　　軟體版本：3.9

　　軟體大小：6942KB

　　下載地址：http://www.ayxz.com/down.asp?id=5976&no=1

　　TrojanHunter（如下圖12）是一款非常不錯的防木馬軟體，可以在Win9X/NT/2000/XP系統中運行，能夠發現流行的木馬。

　　

　　（5）Anti-Trojan Shield

　　軟體版本：1.4.15

　　軟體大小：4451KB

　　下載地址：http://sq3.onlinedown.net/down/ats1.exe

　　Anti-Trojan Shield（如下圖13）是一款享譽歐洲的專業木馬偵測、攔截及清除軟體，目前可以查殺9468種木馬和病毒，其特點是界面簡捷，雖是英文但只要你會用殺毒軟體，就能很容易操作該軟體。

　　

　　（6）木馬清除大師正式版

　　軟體版本：2.15

　　軟體大小：4634KB

　　下載地址：http://xj-http.skycn.net:8080/down/BtSetup215.exe

　　木馬清除大師（BeatTrojan）能查殺5800餘種國際國內流行木馬、網路遊戲盜號工具、QQ盜密碼工具、幽靈後門，查殺率在95%以上，正式版還加強了對第五代木馬的查殺，更加人性化的進程管理設計，能完美的查殺各種無進程木馬。

　　二、手工清除木馬

　　手工清除木馬應按照以下的順序進行：用TcpView先查看進程，把可疑進程文件名和所在位置記錄下來，然後停止可疑進程；在註冊表裡查找可疑進程文件，並將相關的鍵值全部刪掉；到可疑進程文件所在位置刪除之按照上面「手工查找木馬技巧」介紹的方法清理註冊表相關表項，檢查與啟動相關的文件、系統目錄中文件，刪除所有可疑文件。

　　有些木馬，因為使用了線程注入或三線程保護方式，需要使用相關工具進行清除。對於exe文件關聯類木馬，清除之後可能會出現exe文件無法打開的現象，假如系統中沒有相關進程監視這個表項，你可以這樣處理：將regedit.exe 複製為 regedit.com，並運行 regedit.com，將 exe 文件關聯改回來即可。