（1）主要通过优盘传播；（2）隐藏U盘文件夹及文件，但是勾掉“文件夹选项——查看”中的隐藏选项仍看不到原始文件；所以不要担心文件被删了，只是被隐藏了而已，也算病毒作者有点良心；之一步可以恢复文件属性。（3）按照文件夹和文件名复制病毒，（如：文件名.exe）伪装成原文件，让用户误以为只是被改后缀，双击后全硬盘感染病毒；（4）一般会全硬盘感染，C盘根目录（C:\WINDOWS\system32）和各盘符下都有隐藏的病毒文件；（5）杀毒软件被强制关闭或不能杀掉毒；（6）除了autorun命名的.exe、.vbs等病毒，还有system.exe、ccc.exe等病毒。

二、手动删除（其实前两步一般就能解决问题，嫌长的话3、4就不用看了）

0、注意事项：操作时不要双击盘符进入电脑。正确 *** 是——右击“我的电脑”——资源管理器——然后从左侧栏打开硬盘和文件夹。

1、U盘原始文件、文件夹和各盘符下病毒被病毒深度隐藏，设置显示所有隐藏文件和系统文件也不能看到。恢复 *** 为：

解决 *** ：开始--运行--输入cmd--进入相应的盘符，输入命令attrib -r -s -h /s /d 回车运行即可(如U盘盘盘符为H，即 H：+回车，然后再输入命令) 。如图：

看看其他盘符有没有其他不正常.exe文件和autorun.exe，此即病毒文件

并且要把U盘以原文件夹名、文件名命名的.exe文件和小于1M的.exe文件全都删了，这全是病毒！

2、病毒专杀.bat文件。把下列程序句复制到文本文档，保存后再改后缀为.bat,双击运行：

@echo on

taskkill /im explorer.exe /f

taskkill /im wscript.exe

start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

start reg import kill.reg

del c:\autorun.* /f /q /as

del %SYSTEMROOT%\system32\autorun.* /f /q /as

del d:\autorun.* /f /q /as

del e:\autorun.* /f /q /as

del f:\autorun.* /f /q /as

del g:\autorun.* /f /q /as

del h:\autorun.* /f /q /as

del i:\autorun.* /f /q /as

del j:\autorun.* /f /q /as

del k:\autorun.* /f /q /as

del l:\autorun.* /f /q /as

start explorer.exe

3、另外设置显示所有隐藏文件和系统文件后，看看其他盘符有没有其他不正常.exe文件（如sy *** .exe、ccc.exe等），把上面的bat文件中autorun换成.exe的文件名，都运行一下，如：

@echo on

taskkill /im explorer.exe /f

taskkill /im wscript.exe

start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

start reg import kill.reg

del c:\system.* /f /q /as

del %SYSTEMROOT%\system32\system.* /f /q /as

del d:\system.* /f /q /as

del e:\system.* /f /q /as

del f:\system.* /f /q /as

del g:\system.* /f /q /as

del h:\system.* /f /q /as

del i:\system.* /f /q /as

del j:\system.* /f /q /as

del k:\system.* /f /q /as

del l:\system.* /f /q /as

start explorer.exe

4、杀毒后可能有后遗症——不能双击打开。解决如下

杀毒后并进行如下操作:打开“我的电脑”-“工具”-“文件夹选项” -“文件类型”，然后系统会找到很类型的文件类型，你用滚动条找到“驱动器”，点击一下，然后在下面找到“高级”-“新建”-在弹出的对话框里，操作项输入“open",用于执行操作的应用程序输入“C:\WINDOWS\explorer.exe”，[注，不带引号]最后点击确定即可。

参考资料：http://hi.baidu.com/d163cn/blog/item/d53cc9355a05601b91ef3925.html

开通网上银行会不会像 *** 一样被木马被盗？具体注意哪些？请详细点，谢谢！

你好：

网银一样是可能被盗的，现在就有专门窃取网银的网银大盗木马

而且因为网银的敏感性，一旦被盗，损失比 *** 被盗大的多的多

具体注意事项主要是，

1 使用完网银，马上把K宝拔下来，不要在电脑上面一直插着

2 安装一款好的杀软，降低感染木马的风险

你可以访问腾讯电脑管家官网，下载安装一个电脑管家来保护你的系统

它的实时防护部分包含了16层的防护体系

对于木马病毒入侵系统可能使用的途径都进行了有效的防御

可以让你远离木马和病毒的困扰

如果以后有什么问题，欢迎再来电脑管家企业平台询问，我们会尽心为您解答

手机中了木马病毒该怎么办

1、对付顽固木马，先给手机获取ROOT权限是没错的，因为很多顽固木马就是依靠隐藏在手机系统软件中，让没有权限删除的用户无可奈何，为此现在很多手机都带有内置ROOT功能，所以在获取手机ROOT权限之前，先打开手机——设置——安全——看是否有ROOT权限开启功能。

2、如果你的手机没有内置的ROOT权限功能，那就只能通过软件强制获取了，下载【KINGROOT】这个工具。

3、下载安装这个工具后，然后把手机打开USB调试后连接到电脑上，打开KINGROOT，对你的手机开始一键root操作就可以了。

【手机杀毒操作步骤】

1、手机获取好ROOT权限后，下一步就是对手机病毒的清理了，我常用的杀毒软件是腾讯手机管家，打开后在防护监控功能界面找到【病毒查杀】。

2、看到这一步后，不要急匆匆的去想要杀毒，点击右上角的这个齿轮标志，可以打开一个设置里面，在里面有一个【顽固木马专杀】功能点击加载。

3、加载好之后，下一步自然就是给你的手机杀毒了，先点击病毒扫描，等扫描完成之后，再点病毒查杀，把手机里面的病毒清除杀掉就可以了。

注意事项

ROOT后杀毒，可能会导致手机失去保修，所以用的时候要谨慎小心

电脑中木马病毒后应该怎么办？

【进入安全模式】

1，因为顽固木马很多都是蠕虫病毒的一种，寄宿在一些核心文件内，我们一般正常情况下杀毒软件也很难将其找出清理；

2，最理想的办法就是进入安全模式杀毒，因为安全模式下，第三方驱动无法自动运行，病毒也只能等待被杀毒软件检测出来了；

3，首先我们重启电脑，在重启电脑的过程中，不断按F8键，进入windows系统的菜单，WIN8除外，然后菜单选择；

4，在菜单中，我们选择安全模式即可，如果电脑上没杀毒软件，可以选择进入 *** 安全模式也可以的；

【查杀顽固木马】

1，接下来就是对电脑中的顽固木马查杀了，可以选择用腾讯电脑管家，然后打开其中的病毒查杀这个功能，对电脑病毒进行清理；

2，杀毒完成后，正常重启电脑，你会发现病毒神奇的没有了，以后电脑使用的时候一定要保持杀毒软件处于开启状态，就可以避免电脑中毒情况发生。

【注意事项】

1，电脑木马病毒是需要经常查杀才可以的

2，定期查杀电脑木马病毒，可以避免电脑被病毒危害。

如果你的电脑中了顽固木马病毒，不妨参考教程设置即可。

有关灰鸽子木马的问题，高手帮忙！

手工清除 ***

近来很多网友反映他们的机器中了一种叫做灰鸽子的木马病毒，这种病毒很是顽劣，在不同杀软上有不同名称比如：Gpigeon、Huigezi、Feutel，在计算机中清除它很是费事，特别是其刚刚开发出的2005，通过截取windows系统的API实现了程序文件隐藏、进程隐藏，服务隐藏三个隐藏，一般杀软在正常模式下根本就找不到其病毒文件，更别提查杀了的事情了，连杀软都很难对付，对用户而言更是头痛了，本文简单介绍了灰鸽子病毒的运行原理，手工检测 *** 、手工清除 *** 、防止感染的注意事项等内容，大部分内容都来自 *** ，由我搜集、整理、加工而成，如果侵犯了你的利益请指出我立刻纠正。

一、灰鸽子病毒简介

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳， *** ，图标等等。

服务端对客户端连接方式有多种，使得处于各种 *** 环境的用户都可能中毒，包括局域网用户（通过 *** 上网）、公网用户和ADSL拨号用户等。

下面介绍服务端：

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

二、灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。

三、灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

（一）、清除灰鸽子的服务

注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。

3、删除整个Game_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

（二）、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。

以上介绍的 *** 适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种 *** 无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏 *** 、防删除手段，手工检测和清除它的难度也会越来越大。

四、防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序

2. 给系统管理员帐户设置足够复杂足够强壮的密码，更好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户

3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用 *** 防火墙软件， *** 防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来 *** 的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用 *** 防火墙来进行一定防护

4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。

. 下载HijackThis扫描系统

下载地址:

http://www.skycn.com/soft/15753.html zww3008汉化版

http://www.merijn.org/files/hijackthis.zip 英文版

2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项

如最近流行的:

O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat

O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe

O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"

3. 用Killbox删除灰鸽子对应的木马文件可以从这里下载Killbox

http://yncnc.onlinedown.net/soft/37257.htm

直接把文件的路径复制到 Killbox里删除

通常都是下面这样的文件 "服务名"具体通过HijackThis判断

C:\windows\服务名.dll

C:\windows\服务名.exe

C:\windows\服务名.bat

C:\windows\服务名key.dll

C:\windows\服务名_hook.dll

C:\windows\服务名_hook2.dll

举例说明:

C:\WINDOWS\setemykey.dll

C:\WINDOWS\setemy.dll

C:\WINDOWS\setemy.exe

C:\WINDOWS\setemy_hook.dll

C:\WINDOWS\setemy_hook2.dll

用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了

木马病毒，简单游走了，怎么办

在安全模式下查杀！重启电脑时--按F8--安全模式--打开杀毒软件－－全盘查杀。！！安全模式下病毒木马无法运行，而杀毒软件能运行!!!在安全模式删除更干净，杀毒软件查杀更彻底!!!!!! 病毒木马的清除办法是：如果不行,重装系统后不要点击其它的盘符下载下面的工具来清理。。。 1：先把下面的工具下载安装后升级最新，接着进入安全模式， 2：用360安全卫士里的木马云查杀全盘扫描查杀， 3：杀毒软件全盘查杀，如果还有病毒杀毒软件无法清除哪就用4： 4:用windows清理助手、360顽固木马专杀、贝壳木马专杀、金山急救箱扫描修复。 5：最后还是有删除不掉的，用Unlocker和超级巡警文件暴力删除工具来强制删除. 6:重起电脑进入正常模式下联网用360顽固木马全盘扫了一次，没发现病毒，呵呵说明没问题了!!!! 1: AV终结者木马专杀:清除AV终结者/8749病毒;修复:映像劫持、Autorun.inf、修复安全模式. 下载地址： http://mirc.ys168.com/ 2:windows清理助手3.0:对流行木马和IE弹广告窗口等有奇效！！下载地址： http://www.duote.com/soft/7513.html 3：360顽固木马专杀:（360顽固木马专杀一定得联网才能查杀)不能运行请改名：“asd”呵呵下载地址： http://www.360.cn/ 4: 贝壳木马专杀 :贝壳木马专杀是绿色软件，直接双击运行就可以了下载地址： http://www.beike.cn/ 5: 金山急救箱:简要用法：点扫描后，如果出现可以修复的项目，全选后，点修复即可。下载地址： http://labs.duba.net/jjx.shtml 6: 精选三款删除工具 1:冰刃 IceSword 1.22 :这是一斩断黑手的利刃,注意事项:行时不要激活内核调试器下载地址： http://www.onlinedown.net/soft/53325.htm 2:Unlocker是一个免费的右键扩充工具，当用户发现有文件或进程无法删除时，可以通过右键菜单中的“Unlocker”进行解锁，不过它并非强制关闭的程序，而是以解除进程与程序关联性的方式进行，因此不会造成数据丢失。以后当你要删除文件的时候，右键选择Unlocker 即可下载地址： http://www.newhu *** /soft/24732.htm 3:超级巡警文件暴力删除工具采用内核技术删除文件，能删除运行中文件或者被占用文件，可以用来查看文件被哪些程序占用，也可以在病毒分析中对一些顽固病毒木马衍生文件的删除。下载地址： http://www.duote.com/soft/13844.html[/color][/url] 病毒木马的手动删除法：按照杀软给出病毒对应的文件名和路径,开始--运行--regedit，打开注册表，用光标选取注册表中的“我的电脑”，菜单--编辑--查找，从头到尾查找这文件的项目，右键--删除，F3继续，直至查完删完. 最后再删除硬盘文件,不让删的用IceSword（冰刃）的文件和注册表功能删下载地址： http://www.onlinedown.net/soft/53325.htm 更好也做些基本的防护，关闭系统还原及其服务；安全模式下清空所有临时文件夹(网上有批处理，也可用超级兔子的文件清理) 关闭一些无用服务超级兔子: http://www.skycn.com/soft/2993.html

记得采纳啊