今天一上QQ，就看见我的好朋友Rena呼叫我，说是电脑很多奇怪问题。具体是电脑变得很慢，网速也比平时慢了一大截，CPU占用率经常100%；有时鼠标会自己到处移动，并把她开着的窗口关掉了，防病毒软件实时监控被莫名其妙地关闭并且无法重新打开，而且MM的另一个QQ密码被盗了……

　　从以上的种种迹象，不难看出，MM是遭到黑客入侵了。于是有了这次反黑经历。文章技术含量不高，但可以告诉你查杀木马后门的一般步骤，相信对你也是很有帮助的。

　　首先必须准备一些检测工具。这里我要用到的是

　　二、检查注册表启动项

　　大部分木马都会在注册表的启动项中添加注册表项，以便于可以开机后随系统启动。这里，我们的IceSword要派上用场了。IceSword是一斩断黑手的利刃，它适用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手。打开IceSword，在左侧的“查看”选项卡里，点击“启动组”，则你的系统里有哪些程序是随系统启动的一目了然。在MM的电脑里，发现了C:\WINNT\System32\Ps.exe被加载到启动项，显然这个程序以前没见过。如图2：

　　三、检测开放端口

　　通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。一般木马和后门程序，都会在在系统中开放某个端口并初于监听状态，以便为骇客随时可以再次控制你的系统打开方便之门。现在有很多木马采用反向连接技术，即不在系统开放端口，而是主动连接骇客事先设置好的IP地址。这样便可以轻松穿透防火墙。而MM的电脑现在正对外连接IP为192.168.136.1的4141端口，这里面肯定有问题！可以初步断定，该木马有反向连接功能。如图3：

　　四、妙用搜索

　　当我们创建或访问过一个程序时，它的最后修改时间和最后访问时间是会随之变化的。那么，我们就可以通过系统自带的搜索功能，搜索出最接电脑近出现不正常现象的时间里，系统都创建了哪些文件或者修改过哪些文件。在文件夹的工具栏中，点击搜索；在“要搜索的文件或文件夹名为”和“包含文件”两栏不要填任何关键字；“搜索选项”里，选择“日期”，由于我MM是3月6号电脑开始不正常的，所以我搜索介于2005-3-5和2005-3-6之间，点“立即搜索”，结果出来了（如图4）。其中有个Ps.exe是刚创建的，而且前面已经知道了该程序随系统启动。可以肯定这个就是木马程序了，立刻删除！然后再把启动项里的相关注册表项也一并删掉，到这里问题就已经解决了，电脑恢复正常。

　　总结

　　很多人以为装了杀毒软件，开了防火墙，打了所有的系统补丁就算安全了，就坚不可摧了。其实网络安全更重要的是要有安全意识。当别人发邮件给你，说附件里是美女图片时，不要轻易去打开附件。不要随便打开别人发给你的网址。不要随便接收别人发给你的文件。最后，一定要勤打补丁和勤升级杀毒软件。

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力