平時(shí)使用電腦的時(shí)候也許會遇到這樣的情況：計(jì)算機(jī)突然死機(jī)，有時(shí)又自動重新啟動，無端端的少了些文件，發(fā)現(xiàn)桌面刷新慢，沒有運(yùn)行什么大的程序，硬盤卻在拼命的讀寫，系統(tǒng)也莫明其妙地對軟驅(qū)進(jìn)行搜索，殺毒軟件和防火墻報(bào)警，發(fā)現(xiàn)系統(tǒng)的速度越來越慢，這時(shí)候你就要小心了。

第一時(shí)間反應(yīng)（養(yǎng)成一個好的習(xí)慣往碗可以減少所受的損失）：用CTRL＋ALT＋DEL調(diào)出任務(wù)表，查看有什么程序在運(yùn)行，如發(fā)現(xiàn)陌生的程序就要多加注意，一般來說，凡是在任務(wù)管理器上的程序都不會對系統(tǒng)的基本運(yùn)行照成負(fù)面影響（注意：這里說的是基本運(yùn)行，先和大家說明白，關(guān)于這條我是在網(wǎng)絡(luò)上關(guān)于這個研究的結(jié)果），所以大家可以關(guān)閉一些可疑的程序來看看，發(fā)現(xiàn)一些不正常的情況恢復(fù)了正常，那么就可以初步確定是中了木馬了，發(fā)現(xiàn)有多個名字相同的程序在運(yùn)行，而且可能會隨時(shí)間的增加而增多，這也是一種可疑的現(xiàn)象也要特別注意，你這時(shí)是在連入Internet網(wǎng)或是局域網(wǎng)后才發(fā)現(xiàn)這些現(xiàn)象的話，不要懷疑，動手查看一下吧?。ㄗⅲ阂灿锌赡苁瞧渌恍┎《驹谧鞴郑?

1 先升級殺毒軟件到最新，對系統(tǒng)進(jìn)行全面的檢查掃描。

2 點(diǎn)擊工具→文件夾選項(xiàng)→查看 把隱藏受保護(hù)的操作系統(tǒng)文件（推薦）和隱藏已知文件類型的擴(kuò)展名 這兩項(xiàng)前面的勾去掉，以方便查看。

3 查看Windows目錄下的WIN.INI文件中開頭的幾行：[WINDOWS] load= ren=這里放的是啟動Windows自動執(zhí)行的程序，可以看看對比對比一下。

4 查看Windows目錄下的SYSTEM.INI文件中的這幾行：[386Enh] device=這里是放置系統(tǒng)本身和外加的驅(qū)動程序。外加的驅(qū)動程序一般都用全路徑，如：device=c：\windows\system32\tianyangdemeng.exe（這里只是打個比方）

5 查看開始菜單中的「程序」→「啟動」。這里放的也是啟動Windows自動執(zhí)行的程序，如果有的話，它就放在C：\Windows\Start Menu\Programs\中，將它保存在較安全的地方后再刪除，需要恢復(fù)時(shí)在拿出來恢復(fù)即可。

6 在「開始」→「運(yùn)行」中輸入"MSCONFIG"查看是否有可疑的啟動項(xiàng)，你也許會問，前面不是說了嗎？其實(shí)，這兩種方法是不同的，你分別用這兩個方法查看一下就會發(fā)現(xiàn)不同了，至于要說更深入點(diǎn)，說實(shí)在話，我也不知道。呵呵不要笑話，希望高手出來解答一下！

7 查看注冊表，在「開始」→「運(yùn)行」中輸入“REGEDIT”。

先對注冊表進(jìn)行備份，才對注冊查看。（一定要養(yǎng)成一個習(xí)慣，在修改木文件時(shí)，對自己沒有把握的需要先進(jìn)行備份）

查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和Run項(xiàng)，看看有沒有可疑的程序。

查看 HKEY_CLASSES_ROOT\EXEFILE\SHELL\OPEN\COMMAND，看看是否有。EXE文件關(guān)聯(lián)的木馬，正確值為"%1"%*查看 HKEY_CLASSES_ROOT\INFFILE\SHELL\OPEN\COMMAND，看看是否有。INF文件關(guān)聯(lián)的木馬，正確值為"SYSTEM ROOT%\SYSTEM32\NOTEPAD.EXE%1查看 HKEY_CLASSES_ROOT\TXTFILE\SHELL\OPEN\COMMAND，看看是否有。TXT文件關(guān)聯(lián)的木馬，正確值為%SYSTEM ROOT%\SYSTEM32\NOTEPAD.EXE%1啟動CMD，輸入NETSTAT -AN 查看有沒有異常的端口。

8 Windows中的執(zhí)行文件。exe、。com、。dll ……它們都有可能是黑客放置的病毒或是黑客病毒的攜帶者。在系統(tǒng)正常的時(shí)候，把以上文件做一個備份，到需要的時(shí)候就可以寫回去！

9 在Windows目錄下，看看有無一個名為Winstart.bat的文件。這個文件也是與Autoexec.bat類似的一個自動批處理文件，不過，它只能在Windows工作而不能在DOS下使用。仔細(xì)看看有沒有什么你不知道的驅(qū)動程序，把它記錄下來，到百度查一下，一般這個自動批處理文件是不會被用到的。（只能憑經(jīng)驗(yàn)判斷了）

10 查看c：\autoexec.bat與c：\config.sys，這兩個文件里有一些系統(tǒng)所需的驅(qū)動程序?？纯从袥]有什么可疑的驅(qū)動程序。

11 右擊「我的電腦」→事件查看器 查看安全日志，看看里面有沒有可疑的內(nèi)容。

12 在CMD下輸入NET USER 看看有沒有可疑的用戶，出現(xiàn)自己不曾設(shè)立的用戶，馬上用NET USER ABCD /DEL 把它刪除（這里的ABCD是用戶名，只要把它改成想要刪除的用戶就行了，也可去下個檢查用戶克隆器查看和其它一切能幫助到你的工具，有些黑客建立的用戶用一般方法是看不見的，大家就要注意了。）