[原创]如何判断木马入侵并手动查杀

注意：本问是冰血封情刚出道的文章，当时在文中我大量使用惊叹号是不成熟的表现。此文奉献给我的父亲和母亲。

原创公告：
本文是由冰血封情原创拙笔，属于中国暗域网络原创文章，转载烦劳您请著名出处，中国暗域网络感谢您的支持！

正文内容：
木马：是一种可以驻留在计算机内的程序终端，他可以在机主毫不知情的情况下
偷偷摸摸打开指定端口与客户端机器联系！中了木马的计算机通常被称为肉机，
他可以让客户端上的用户通过其打开的特定端口窃取肉机上的资料、修改肉机上
的系统、甚至格掉肉机的硬盘！！中了木马的服务器还会被扫描软件扫出漏洞而
入侵！！在家里上网的菜鸟往往担心其计算机是否中了木马，但是又种不知如何
找、找到新木马又不知如何查杀，冰血封情通过博览群书，惊心整理了一套查杀
木马的方法（广告？），这里教大家怎样用？！
一、检查
在DOS下用NETSTAT．EXE命令检查本地计算机上的TCP、UDP监听表及IP协议统计！
打开一个DOS窗口在C:\WINDOWS>后键入netstat -a回车。看看在Local Address
下计算机有没有开可疑端口号！
以下是部分木马常用端口列表

[资料]冰血封情计算机库存资料之端口
http://forum.hackway.net/index.php?showtopic=3660

如果发现有开以上端口，那么你可能中木马了！！请按以下方式查检查！
二、检查
1、在WIN.INI中的[Windows]字段中的“load”与“run”后一般情况下“=”后
为空白，但如果有东西，如：
run=C:\windows\file.exe
load=C:\windows\file.exe
小心file.exe很有可能是木马！
2、在system.ini中[boot]字段中shell=Explorer.exe木马常将其变为
shell=Explorer.exe file.exe，这个file.exe就是木马终端！另外在[386Enh]
中，注检查driver=X:\...\file.exe。此外[mic]、[drivers]、[drivers32]也
要小心检查！！
3、在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion及
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion三个键名下的以RUN
开头的键值要查！！
4、有时在Autoexec.bat与Config.sys及Winstart.bat中也有加载！
5、WINDOWS的启动文件夹一定要看看！！
6、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders下的“Startup”=也要细看！
7、检查*.INI是否正常！！
8、检查HKEY_CLASSES_ROOT\文件类型\Shell\open\command\是否正常！！
本文如有不全面处，希高手在下面跟帖赐教。

灌水广告：
——文章原创由 中国暗域网络 及 邪恶八进制 冰血封情<Evilin>
——Be powered by Hackway Power of Cn & EvilOctal Security Group EvilOctal
——欢迎访问 www.HackWay.net & www.EvilOctal.com