七步让木马与你断绝关系1开始中启动，大家可以看里面的程序2注册表中：\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\CommandProcessor\"找到并双击“AutoRun”\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\\"找到并双击“Run”\"HKEY_CURRENT_USER\\Microsoft\\Windows\\CurrentVersion\\Run\"（这个一般与“开始”中“启动”的相同，但是在“启动”中没有显示）大家可以在这里面的程序，哪个不正常，就删除它3开始---运行---gpedit.msc策略组--用户配置--管理模块--系统--登陆--4系统服务中的设置大家自己看看，里面有哪个不正常的，就终止它我们具体以鸽子为一个例子：我们先查看本机远程8000的端口，看是否打开，在没有中鸽子之前是没有远程8000端口的由于为了让大家看得明显，我就不改鸽子的设置，实战中大家要注意：\"GrayPigeon_Hacker.com.cn，灰鸽子服务端程序。远程监控管理，\"这些被放鸽子的人改过的信息，只要与原有的比较一下，还是可以判断出它是木马的运行鸽子基本步骤：1查端口，一般为8000，大家可以用专业的工具查看,也可以用系统自带的工具查看比如:任务管理器,命令提示符,2然后查程序所在位置终止进程，3最后删除文件我就不操作了，大家知道就可以了值得注意的是腾讯QQ也会开启远程8000端口的，要注意区分，可以查询腾讯IP。通过对比的方法，实现查找木马基本步骤：1备分安全状态下的一些情况2异常时，把异常的文件情况导出3对比前后两次的结果，根据集体情况，自己判断。具体操作，看我演示一下:首先，因为木马一般在windows\\system32，而且后缀名为exe,dll,我们备分一个安全状态下的目录*.exe,*.dll的文件，命令dir*.exe>c:\\exe1.txt&dir*.dll>c:\\dll1.txt意思是说提取system32目录下所有文件名后缀名为exe和dll的文件的名字到C盘exe1.txt与dll1.txt记事本里面.导好了,我们去看看,假设，我中木马了，木马为MMMMM.exe和mmmmmm.dll,我们再来中一个鸽子，在不安全状态下,我们又导出该目录下的文件名,命令dir*.exe>c:\\exe2.txt&dir*.dll>c:\\dll2.txt存到C盘exe2.txt与dll2.txt里面下面我们进行比较,当然不可能一个个去看,我们让电脑自动比较,命令fcc:\\exe1.txtc:\\exe2.txt>>c:\\b1.txtfcc:\\dll1.txtc:\\dll2.txt>>c:\\b2.txtb1.txtb2.txt这2个就是对比结果大家看见了吧，就这样，就可以判断是否中了木马然后我们找到他们，终止进程，删除就OK了我就不操作了通过“暂缺”判断是否是木马，再综合路径与端口基本步骤：1开始--运行--cmd2再查路径，3最后查杀木马我们以svchost.exe为例子：正常的svchost.exe是在%systemroot%\\system32下木马病毒的svchost.exe是在windows\\ststem32\\wins或者其他地方像上兴，REDgirl等木马可以设置插入的进程，大家要小心，鸽子的进程也可以修改，我们来简单的操作一下，先用任务管理器查看svchost.exe，svchost.exe会有4，5个左右，我们关闭一下，如果：出现关机倒计时，是正常的，可以这样取消：开始--运行--shutdown-a我这里没有这样的情况，因为我没有中这样的木马，大家可以根据自己的情况具体判断，开始--运行--cmd--tasklist/svc(win2000的电脑用命令\"tlist-s\",我这里是XP的)svchost.exe“暂缺”，那就是木马了，我这里没有，其他有的“暂缺”，不一定是木马大家根据自己的具体情况去判断以上也是一个查杀木马的方法，希望大家能进一步了解木马！借助防火墙的“访问规则”来拒绝木马的进程，比如一些过主动防御的木马，虽然过了主动防御，但是在防火墙还是会留下足迹的，大家可以根据自己的判断做终止它，最后删除。这也是一个有效的方法建议大家要装有杀毒软件的前提下，在做一些安全措施，比如，安系统还原精灵，影子系统等等只要重起就没有事情了，