注册机怎么判断木马病毒（怎么查出木马病毒）

如何识别注册表中的木马和病毒

1)360tray.exe

360安全卫士应用程序实时保护模块.

(2)alg.exe

是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

(3)avgas.exe

是 AVG 7.5（德国）查杀木马软件的相关程序。

(4)avp.exe(2个)

是卡巴斯基杀毒软件的相关程序。

但如果没有安装该软件，则可能是病毒的文件，它本身是一个压缩文件，如果打开压缩文件，就会变成136kb的文件。

(5)ca.exe

是etrustezfirewall防火墙的一部分，用于保护你的计算机免受网络攻击。此进程对电脑的正常运行及安全起着重要作用，不能终止。

(6)csrss.exe

是微软客户端/服务端运行时子系统。该进程管理windows图形相关任务。这个程序对你系统的正常运行是非常重要的。

注意：csrss.exe也有可能是[email=w32.netsky.ab@mm]w32.netsky.ab@mm[/email]、w32.webus木马、win32.ladex.a等病毒创建的。该病毒通过email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立smtp服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面.

(7)ctfmon.exe

是microsoft office产品套装的一部分。它可以选择用户文字输入程序，和微软office xp语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

(8)explorer.exe

是windows程序管理器或者windows资源管理器，它用于管理windows图形壳，包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用。

注意：explorer.exe也有可能是w32.codered和[email=w32.mydoom.b@mm]w32.mydoom.b@mm[/email]病毒。该病毒通过email邮件传播，当你打开附件时，就会被感染。该蠕虫会在受害者机器上建立smtp服务，用于更大范围的传播。该蠕虫允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows和servicepackfiles\i386下面。

(9)guard.exe

是 AVG 7.5（德国）查杀木马软件启动的监控进程。

(10)iexplore.exe

是microsoft internet explorer的主程序。这个微软windows应用程序让你在网上冲浪，和访问本地interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是avant网络浏览器的一部分，这是一个免费的基于internet explorer的浏览器。

注意:iexplore.exe也有可能是木马.killav.b病毒，该病毒会终止你的反病毒软件，和一些windows系统工具。正常的进程应该是在\programfiles\internetexplorer和system32\dllcache下面.

(11)lsass.exe

是一个关于微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略。

(12) notepad.exe

是windows自带的记事本程序。是windows默认用来打开和编辑文本文件的程序。

(13)realplay.exe

是Real Networks公司相关程序，Real Player用于播放视频文件，例如MPEG和AVI。

(14)services.exe

是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。

注意：services也可能是w32.randex.r(储存在％systemroot％\system32\目录)和sober.p (储存在％systemroot％\connection wizard\status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除.

(15)smss.exe

是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。

注意：smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面.

(16)spoolsv.exe

用于将windows打印机任务发送给本地打印机。

注意:spoolsv.exe也有可能是backdoor.ciadoor.b木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面。如果出现在spoolsv目录下，则可能一些ie插件的文件，建议使用反间谍进行扫描。

(17)StarWindService.exe

是Alcohol 120%光盘刻录软件相关程序.如果想要禁用此进程：只要在alcohol120%的选项中，去掉自动检查当前版本状态项，然后“开始”－“运行”－services.msc，在系统服务中将名为StarWind iSCSI Service的进程设为“禁用”，重启后就不会看到这个进程.

(18)svchost.exe(6个)

是一个属于微软windows操作系统的系统程序，用于执行dll文件。这个程序对你系统的正常运行是非常重要的。

注意：svchost.exe也有可能是w32.welchia.worm病毒，它利用windowslsass漏洞，制造缓冲区溢出，导致你计算机关机。请注意此进程的名字，还有一个病毒是svch0st.exe，名字中间的是数字0，而不是英文字母o。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面.

(19)system

是windows页面内存管理进程，拥有0级优先。

(20)system Idle process

它更多用于是显示剩余的cpu资源情况。无法删除该进程。

(21)taskmgr.exe

用于windows任务管理器。它显示你系统中正在运行的进程。该程序使用ctrl+alt+del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

(22)ULCDRSvr.exe

是uleaddvdworkshop相关产品的一部分。该程序用于烧录dvd和cd媒体。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

(23)vsmon.exe

是ZoneAlarm个人防火墙的一部分。它用于监视网络浏览和对网络攻击进行警报。

(24)winlogon.exe

是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。

基本上就这么多招了，你对照着做，应该能解决问题了。

菜鸟如何确定文件中是否含有病毒或木马？

绝大多数注册机都会被定义为木马或病毒的。这个没办法真正确定会不会对你的电脑产生危害。可以试试微点主动防御软件，他不会扫描，但会阻止木马以及高风险文件运行，既然是注册机，一般运行一次就够了，第一次放行就可以了，三个月试用

注册机是否带木马？

这种情况还是有的，所以我一般首先考虑注册码或授权文件，如果非要运行注册机，则依靠hips和影子保护。

如何判断我的电脑里是否有木马病毒啊???

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看system.ini文件

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”

，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

2、查看win.ini文件

选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空

3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，

极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都

屏蔽掉了

4、查看注册表

由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：

“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己

不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的

服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项

“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

Explorer=“CWINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母

的差别！

通过类似的方法对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

4、其它方法

上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：

由“开始-运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示：

显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address

：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000

），而Foreign Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被

Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非

法连接你计算机的木马客户端。

当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用netstat命令将看不

到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口

。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务操作，那么在监听该

端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。

注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何

网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

雨过天晴注册机是木马病毒吗

不一定是病毒。每个杀毒软件厂商对病毒的定义都不同。注册机通过穷列举的方法破解软件,这和病毒、木马有相同的特征。事实上大多数杀毒软件都将注册机当作病毒。注册机本来就不是正常软件。