电脑中木马了

1.准备利器。你得先下载或复制（从其他电脑）最新，最好（一般是网上知名度高的）的木马专杀工具和预备的杀毒软件（建议你到翱翔的博客，他的关于系统的一切都有，且有效（还有各种软件）/guoguo6688）。另外我觉得‘360’不错。

2.你确定是木马？是什么木马？开机时它提示的木马名称要记下来。还有方法：

a。在任何能显示网络连接状态的软件上查看（防火墙大多都可）可疑连接并记下名称。b。同时按下键盘上alt+ctrl+delete键，在进程中查看可疑进程。

附1常见进程：vista 常见进程

(1)360tray.exe

360安全卫士应用程序实时保护模块.

(2)audiodg.exe

Wingdows音频图像隔离。

(3)bdagent.exe

BitDefenderProfessional杀毒软件相关程序。BitDefenderProfessional是罗马尼亚的一款杀毒软件，它将为您的计算机提供最大的保护，它具有功能强大的反病毒引擎以及互联网过滤技术。

(4)bdmcon.exe

是SoftWin公司出品的BitDefender反病毒产品的一部分。

(5)bdss.exe

是BitDefender反病毒软件的一部分。

(6)csrss.exe(2个)

是微软客户端/服务端运行时子系统。该进程管理windows图形相关任务。这个程序对你系统的正常运行是非常重要的。

注意：csrss.exe也有可能是w32.netsky.ab@mm、w32.webus木马、win32.ladex.a等病毒创建的。该病毒通过email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立smtp服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32下面.

(7)dwm.exe

这是aero界面的一个进程。

(8)explorer.exe

是windows程序管理器或者windows资源管理器，它用于管理windows图形壳，包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用。

注意：explorer.exe也有可能是w32.codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播，当你打开附件时，就会被感染。该蠕虫会在受害者机器上建立smtp服务，用于更大范围的传播。该蠕虫允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows下面。

(9)googletoolbarnotifier.exe

是 Google 工具栏的伴随产品。要启用工具栏的搜索设置通知程序功能，需要此可执行程序。

(10)ieuser.exe

IE7进程。

(11)iexplore.exe

是microsoft internet explorer的主程序。这个微软windows应用程序让你在网上冲浪，和访问本地interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是avant网络浏览器的一部分，这是一个免费的基于internet explorer的浏览器。

注意:iexplore.exe也有可能是木马.killav.b病毒，该病毒会终止你的反病毒软件，和一些windows系统工具。正常的进程应该是在\programfiles\internetexplorer和system32\dllcache下面.

(12)livesrv.exe

BitDefenderProfessional杀毒软件在线升级程序。BitDefenderProfessional是罗马尼亚的一款杀毒软件，它将为您的计算机提供最大的保护，它具有功能强大的反病毒引擎以及互联网过滤技术。

(13)lsass.exe

是一个关于微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略。

(14)lsm.exe

一个用来管理计算机的终端服务器连接的新进程(即“本地会话管理器”)。

(15)notepad.exe

是windows自带的记事本程序。是windows默认用来打开和编辑文本文件的程序。

(16)realsched.exe

是Real Networks产品定时升级检测程序.

(17)searchindexer.exe

为文件、电子邮件以及其他内容(通过可扩展性 API)提供内容索引和属性缓存。该服务响应文件和电子邮件通知，从而对已修改的内容编制索引。如果该服务已停止或被禁用，资源管理器将无法显示项目的虚拟文件夹视图，在资源管理器中搜索将回退为速度较慢的逐项搜索。

(18)services.exe

是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。

注意：services也可能是w32.randex.r(储存在％systemroot％\system32\目录)和sober.p (储存在％systemroot％\connection wizard\status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除.

(19)sidebar.exe

vista边栏

(20)slsvc.exe

Microsoft软件授权服务。

(21)smss.exe

是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。

注意：smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32下面.

(22)spoolsv.exe

用于将windows打印机任务发送给本地打印机。

注意:spoolsv.exe也有可能是backdoor.ciadoor.b木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32下面。如果出现在spoolsv目录下，则可能一些ie插件的文件，建议使用反间谍进行扫描。

(23)svchost.exe(8个)

是一个属于微软windows操作系统的系统程序，用于执行dll文件。这个程序对你系统的正常运行是非常重要的。

注意：svchost.exe也有可能是w32.welchia.worm病毒，它利用windowslsass漏洞，制造缓冲区溢出，导致你计算机关机。请注意此

进程的名字，还有一个病毒是svch0st.exe，名字中间的是数字0，而不是英文字母o。请注意此进程所在的文件夹，正常的进程应该

(24)system

是windows页面内存管理进程，拥有0级优先。

(25)system Idle process

它更多用于是显示剩余的cpu资源情况。无法删除该进程。

(26)taskeng.exe(2个)

任务计划引擎。

(27)taskmgr.exe

用于windows任务管理器。它显示你系统中正在运行的进程。该程序使用ctrl+alt+del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

(28)vsserv.exe

是Bull Guard网络安全套装和BitDefender反病毒软件相关程序。

(29)wininit.exe

Windows启动应用程序。

(30)winlogon.exe

是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。

注意：winlogon.exe也可能是w32.netsky.d@mm蠕虫病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建smtp引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32下面.

(31)wuauclt.exe

是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。

(32)xcommsvr.exe

是BitDefender反病毒产品相关程序

附2常见进程：

agrsmsvc.exe :Agere调制解调器进程。

audiodg.exe : Windows音频设备图形隔离程序

BTTray.exe : Widcomm公司蓝牙相关产品在系统托盘的进程

btwdins.exe : 是为了微软Windows操作系统支持蓝牙技术的程序

csrss.exe : 客户端服务子系统，用以控制Windows图形相关子系统

dmhkcore.exe : 是微软microsoftwindowsmediaplayer10播放器的相关程序。

explorer.exe : Windows 资源管理器，可以说是 Windows 图形界面外壳程序是一个有用的系统进程

ieuser.exe : 专门帮助IE打理需要普通用户权限的进程

iexplore.exe : 是Microsoft Internet Explorer的主程序

IMSSync.exe : Intel Media播放器的进程。

lsass.exe :是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略

lsm.exe : 本地会话管理器服务

mobsync.exe : 是Internet Explorer相关程序，用于同步离线网页

MSASCui.exe : WindowsDefender(原名WindowsAntiSpyware)是微软出品的一款反间谍软件的产品

realsched.exe : 是RealPlayer自动升级程序

Richvideo.exe : 是cyberlink公司的视频处理软件程序

rthdvcpl.exe :是声音控制面板程序 searchindexer.exe :MirosoftWindowsVista桌面搜索索引程序

services.exe : 是微软Windows操作系统的一部分。用于管理启动和停止服务

sidebar.exe : 描述 WindowsVista侧边栏程序

slsvc.exe : Microsoft 软件授权(licensing)技术提供所需的API服务

smss.exe : 这是一个会话管理子系统，负责启动用户会话

spoolsv.exe : 用于将Windows打印机任务发送给本地打印机

svchost.exe : 是一个标准的动态连接库主机处理服务

taskeng.exe : 任务计划程序引擎

taskmgr.exe : Windows任务管理器进程

viivmonitor.exe :基于英特尔? 欢核? 处理器技术的电脑所用的显示进程

wininit.exe windows启动应用程序

conime.exe 输入法程序(Console IME)

可能还有其它进程（包括你的杀毒软件）（建议你刚开机后查看进程）

然后在网上查这种木马的专杀，下载。

3.杀毒。

我建议在安全模式杀（这样木马可能不运行，且易查杀）。

方法：开机（刚按下电源）---马上按F8键---选择安全模式（不带网络连接）---确定进入。进入后，你在开始---运行----msconfig---确定。在‘启动’选项卡中把除系统外的项都去掉勾（哪些是安全的你在网上查一下），并且记录下相关可疑项名称。

运行你的专杀工具，一个一个来，有耐心。

4.检查启动项。

下面是启动项位置：

系统启动项汇总(病毒常添加的启动项的位置)2008-09-23 23:13系统修复工具：/323600.html

Process.Explorer11查看进程工具：

/244348.html

一.文件夹启动位置:

1.C:\Documents and Settings\用户名\「开始」菜单\程序

2.C:\Documents and Settings\All Users\「开始」菜单\程序\启动

二.注册表（开始--运行---输入 regedit）加载的启动项:

1.Run:

a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run(病毒喜欢光顾的地方)

c.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

d.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

e.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run(不常见)

2.RunOnce:

a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

3.RunServicesOnce:(启动服务:在用户登录前启动)

a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

4.RunServices:

a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

b.HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

(注:与3相同点:两者都在用户登录之前,不同点:RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行。)

5.Load:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows右侧添加load字符串值,值为要启动程序的路径.(在HKEY_LOCAL_MACHINE中无用)

6.Winlogon:

a.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(下面新建Notify、Userinit值项不起作用,shell有用，但加载的程序运行后，explorer.exe不运行，要手动开启；)

b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(注:右侧的"shell"的值"Explorer.exe"后加载恶意程序启动项,还有"userinit"在值为"C:\WINDOWS\system32\userinit.exe,"后添加恶意程序启动.userinit.exe文件丢失或其相关注册表键值错误将导致不能正常登录系统)

c.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下新建项值可以(如:解决更新系统后,右下角托盘的五角形就是注册表中添加wgalogon项和基相关项值)

7.ShellServiceObjectDelayLoad:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

8.Scripts:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts(右侧添加自启动项)

8.AppInit_DLLs:(一些病毒的DLL模块,利用它开机自启动,有时还会把此文件类型更改,正常的类型是REG_SZ值为空)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

三.系统配置文件:在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也会加载一些自动运行的程序。在开始--运行--输cmd--确定---再输入对应配置文件名称，如win.ini----点键盘上enter键打开)

1.Win.ini:

"load"后面的程序在自启动后最小化运行，而“run=”后程序则会正常运行.

2.System.ini:

"shell"=Explorer.exe(正常)"shell"=Explorer.exe+其它程序名或者"shell"=直接指定病毒程序路径.

3.wininit.ini:

Windows启动时自动执行后会被自动删除，这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成，

(注:或者运行msconfig在里面看)

四.组策略中开/关机/登录/注销脚本

在Windows 2000/XP中，单击“开始→运行”，输入gpedit.msc回车可以打开“组策略编辑器”，在左侧窗格展开“本地计算机策略→用户配置→管理模板→ 系统→登录”，然后在右窗格中双击“在用户登录时运行这些程序”，单击“显示”按钮，在“登录时运行的项目”下就显示了自启动的程序.

五.任务计划:(可以自行添加自启动项)

c:\windows\tasks\文件夹中后缀为.job为计划任务. 一个JOB代表一个计划任何.病毒一般使用隐藏.JOB文件来达到秘密运行病毒或破坏系统文件的目的.

然后你检查有没有我们之前记下的可疑名称。有的删除。

最后提醒一句：电脑不会自动没问题，也不会自动有问题，你要自己试着探索解决，在百度搜索。积累经验，自己以后也可独立解决问题。

祝你解决问题。