百万台老年机被植入木马，如何才能得知父母的老年机有没有木马程序？

根据相关媒体的报道，现在有上百万台老年机被植入木马，很多老年人的身份信息被盗用。而这类木马病毒盗用身份信息的方式，就是通过短信验证码。只要我们用手机接收营业厅的验证码，就能得知手机中是否有木马。从现在的案例来看，大多数被植入木马的老年机，是无法接收短信的。

1、木马事件起因

这件事起源于2019年，当时新昌县一个年旦凳档轻人给外婆买模乱了一部老年机，可是在给外婆换套餐的时候，发现无法接收验证码。把手机卡换到自己手机上，就可以接收。此时年轻人开始怀疑，并且选择报警。经过警方的调查，发现手机真的有木马程序，并且发现验证码被发送到深圳的一家科技公司。之后警方进行大面积调查，发现很多同款老年机都有相同现象。在查明真相之后，当地警方联合其他地区警方，一举将犯罪团伙抓获。

2、非法公司和老年机生产商

木马程序植入在老年机主板上，而非法公司之所以能植入程序，就是老年机主板商跟他们的合作。根据部分犯罪分子的说法，主板商跟他们合作，通过木马程序获得手机号码等信息。并且通过自动拦截验证码，来实现“接码”。而这样的行为，可以帮助他们获得大量的个人信息，包括手机号码和验证码。这些公司在利用信息，进行大量的出售和APP注册，以此来获取利润。

3、如何判断是否有木马程序

按照犯罪人员的说法，判定方法就是看能不能接收验证码。不过这只是最基础的，对于普通人来讲，很难进行区分。而犯罪人员的目标不仅仅是老年手机，他们还打算进入儿童手表行业。这种非法行为，让粗渗数百万人的身份信息，被不停的贩卖到各种市场。

木马的检测、清除与防范

来源：CNCERT/CC广东分中心编写

木马程序不同于病毒程序，通常并不象病毒程序那样感染文件。木马一般是以寻找后门、

窃取密码和重要文件为主，还可以对电脑进行跟踪监猛没视、控制、查看、修改资料等 *** 作，具有很强的隐蔽性、

突发性和攻击性。由告知激于木马具有很强的隐蔽性，用户往往是在自己的密码被盗、

机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马，

如何对木马进行清除和防范。

木马检测

1、查看开放端口

当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的，

这样我们就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。

例如冰河使用的监听端口是7626，Back Orifice 2000使用的监听端口是54320等。

假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是中了木马。

查看端口的方法有几种：

(1)使用袜袜Windows本身自带的netstat命令

C:\>netstat -an

Active Connections

Proto Local Address Foreign AddressState

TCP 0.0.0.0:113 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1350.0.0.0:0LISTENING

TCP 0.0.0.0:4450.0.0.0:0LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0LISTENING

TCP 0.0.0.0:1026 0.0.0.0:0LISTENING

TCP 0.0.0.0:1033 0.0.0.0:0LISTENING

TCP 0.0.0.0:1230 0.0.0.0:0LISTENING

TCP 0.0.0.0:1232 0.0.0.0:0LISTENING

TCP 0.0.0.0:1239 0.0.0.0:0LISTENING

TCP 0.0.0.0:1740 0.0.0.0:0LISTENING

TCP 127.0.0.1:5092 0.0.0.0: LISTENING

TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI

TCP 127.0.0.1:6092 0.0.0.0:0LISTENING

UDP 0.0.0.0:69 *:*

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:1703 *:*

UDP 0.0.0.0:1704 *:*

UDP 0.0.0.0:4000 *:*

UDP 0.0.0.0:6000 *:*

UDP 0.0.0.0:6001 *:*

UDP 127.0.0.1:1034 *:*

UDP 127.0.0.1:1321 *:*

UDP 127.0.0.1:1551 *:*

(2)使用windows2000下的命令行工具fport

E:\software>Fport.exe

FPort v2.0 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

http://www.foundstone.com

Pid Process Port Proto Path

420 svchost ->135 TCP E:\WINNT\system32\svchost.exe

8 System ->139 TCP

8 System ->445 TCP

768 MSTask ->1025 TCP E:\WINNT\system32\MSTask.exe

8 System ->1027 TCP

8 System ->137 UDP

8 System ->138 UDP

8 System ->445 UDP

256 lsass ->500 UDP E:\WINNT\system32\lsass.exe

(3)使用图形化界面工具Active Ports

这个工具可以监视到电脑所有打开的TCP/IP/UDP端口，还可以显示所有端口所对应的程序所在的路径，

本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于Windows NT/2000/XP平台。

2、查看win.ini和system.ini系统配置文件

查看win.ini和system.ini文件是否有被修改的地方。

例如有的木马通过修改win.ini文件中windows节 的“load=file.exe ，run=file.exe”语句进行自动加载。

此外可以修改system.ini中的boot节，实现木马加载。

例如 “妖之吻” 病毒，将“Shell=Explorer.exe” （Windows系统的图形界面命令解释器）

修改成“Shell=yzw.exe”，在电脑每次启动后就自动运行程序yzw.exe。

修改的方法是将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。

3、查看启动程序

如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的，

一般都会放在主菜单的“开始->程序->启动”处，

在Win98资源管理器里的位置是“C:\windows\start menu\programs\启动”处。

通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders 　

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders　

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders

检查是否有可疑的启动程序，便很容易查到是否中了木马。

在Win98系统下，还可以直接运行Msconfig命令查看启动程序和system.ini、win.ini、autoexec.bat等

文件。

4、查看系统进程

木马即使再狡猾，它也是一个应用程序，需要进程来执行。可以通过查看系统进程来推断木马是否存在。

在Windows NT/XP系统下，按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程。

在Win98下，可以通过Prcview和winproc工具来查看进程。查看进程中，要求你要对系统非常熟悉，

对每个系统运行的进程要知道它是做什么用的，这样，木马运行时，

就很容易看出来哪个是木马程序的活动进程了。

5、查看注册表

木马一旦被加载，一般都会对注册表进行修改。一般来说，

木马在注册表中实现加载文件一般是在以下等处：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunServices

此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

““%1” %*”处，如果其中的“%1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，

例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件，

每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

还有“广外女生”木马就是在HKEY_CLASSES_ROOT\exefile\shell\open

\command=““%1” %*”处将其默认键值改成"%1" %*"，

并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices添加了名称为"Diagnostic Configuration"的键值；

6、使用检测软件

上面介绍的是手工检测木马的方法，此外，我们还可以通过各种杀毒软件、

防火墙软件和各种木马查杀工具等检测木马。各种杀毒软件主要有：KV3000,Kill3000、瑞星等，

防火墙软件主要有国外的Lockdown，国内的天网、金山网镖等，各种木马查杀工具主要有：The Cleaner、

木马克星、木马终结者等。这里推荐一款工具防护工具McAfee VirusScan ，

它集合了入侵防卫及防火墙技术，为个人电脑和文件服务器提供全面的病毒防护。

木马清除

检测到电脑中了木马后，就要根据木马的特征来进行清除。查看是否有可疑的启动程序、

可疑的进程存在，是否修改了win.ini、system.ini系统配置文件和注册表。

如果存在可疑的程序和进程，就按照特定的方法进行清除。

主要的步骤都不外乎以下几个：

（但并不是所有的木马清除都能够根据下列步骤删除，这里只是介绍清除木马的基本方法）

1、删除可疑的启动程序

查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，

如果存在木马，则除了要查出木马文件并删除外，还要将木马自动启动程序删除。

例如Hack.Rbot病毒、后门就会拷贝自身到一些固定的windows自启动项中：

WINDOWS\All Users\Start Menu\Programs\StartUp

WINNT\Profiles\All Users\Start Menu\Programs\Startup

WINDOWS\Start Menu\Programs\Startup

Documents and Settings\All Users\Start Menu\Programs\Startup

查看一下这些目录，如果有可疑的启动程序，则将之删除。

2、恢复win.ini和system.ini系统配置文件的原始配置

许多病毒会将win.ini和system.ini系统配置文件修改，使之能在系统启动时加载和运行木马程序。

例如电脑中了“妖之吻”病毒后，病毒会将system.ini中的boot节的

“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木马的方法是把system.ini给恢复原始配置，

即“Shell=yzw.exe”修改回“Shell=Explorer.exe”，再删除掉病毒文件即可。

TROJ_BADTRANS.A病毒，也会更改win.ini以便在下一次重新开机时执行木马程序。

主要是将win.ini中的windows节的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。

执行清除的步骤如下：

（1）打开win.ini文本文件，将字段“RUN=C:%WINDIR%INETD.EXE”中 等号后面的字符删除，

仅保留“RUN=”。

（2）将被TROJ_BADTRANS.A病毒感染的文件删除。

3、停止可疑的系统进程

木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序，

在对木马进行清除时，当然首先要停掉木马程序的系统进程。

例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外，

还在进程中运行wuamgrd.exe程序，修改了注册表，以便病毒可随机自启动。

在看到有木马程序在进程中运行，则需要马上杀掉进程，并进行下一步 *** 作，修改注册表和清除木马文件。

4、修改注册表

查看注册表，将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门，

向注册表的以下地方：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

添加了键值"Microsoft Update" = "wuamgrd.exe"，以便病毒可随机自启动。

这就需要我们进入注册表，将这个键值给删除。注意：可能有些木马会不允许执行.exe文件，

这样我们就需要先将regedit.exe改成系统能够运行的，比如可以改成regedit.com。

这里就说说如何清除Hack.Rbot病毒、后门的。

（1）将进程中运行的wuamgrd.exe进程停止，这是一个木马程序；

（2）将Hack.Rbot拷贝到windows启动项中的启动文件删除；

（3）将Hack.Rbot添加到注册表中的键值"Microsoft Update"=

"wuamgrd.exe"删除；

（4）手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。

5、使用杀毒软件和木马查杀工具进行木马查杀

常用的杀毒软件包括KV3000、瑞星、诺顿等，这些软件对木马的查杀是比较有效的，

但是要注意时刻更新病毒库，而且对于一些木马查杀不彻底，在系统重新启动后还会自动加载。

此外，你还可以使用The Cleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。

这里推荐一款工具Anti-Trojan Shield，这是一款享誉欧洲的专业木马侦测、拦截及清除软件。

可以在http://www.atshield.com网站下载。

木马防范

随着网络的普及，硬件和软件的高速发展，网络安全显得日益重要。对于网络中比较流行的木马程序，

传播时间比较快，影响比较严重，因此对于木马的防范就更不能疏忽。

我们在检测清除木马的同时，还要注意对木马的预防，做到防范于未然。

1、不要随意打开来历不明的邮件

现在许多木马都是通过邮件来传播的，当你收到来历不明的邮件时，请不要打开，应尽快删除。

并加强邮件监控系统，拒收垃圾邮件。

2、不要随意下载来历不明的软件

最好是在一些知名的网站下载软件，不要下载和运行那些来历不明的软件。

在安装软件的同时最好用杀毒软件查看有没有病毒，之后才进行安装。

3、及时修补漏洞和关闭可疑的端口

一般木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，

在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。

4、尽量少用共享文件夹

如果必须使用共享文件夹，则最好设置帐号和密码保护。注意千万不要将系统目录设置成共享，

最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态，这是非常危险的。

5、运行实时监控程序

在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检查。

6、经常升级系统和更新病毒库

经常关注厂商网站的安全公告，这些网站通常都会及时的将漏洞、木马和更新公布出来，

并第一时间发布补丁和新的病毒库等。

采用注册表来管理系统配置，主要是为了提高系统的稳定性，平时 *** 作系统出现的一些问题，

诸如系统无法启动、应用程序无法运行、系统不稳定等情况，很多都是因为注册表出现错误而造成的，

而通过修改相应的数据就能解决这些问题，所以，掌握如何正确备份、恢复注册表的方法，

可以让每一个用户更加得心应手地使用自己的电脑。

一、利用注册表编辑器手工备份注册表

注册表编辑器（Regedit）是 *** 作系统自带的一款注册表工具，通过它就能对注册表进行各种修改。

当然，"备份"与"恢复"注册表自然是它的本能了。

（1）通过注册表编辑器备份注册表

由于修改注册表有时会危及系统的安全，因此不管是WINDOWS 98还是WINDOWS 2000甚至WINDOWS XP，

都把注册表编辑器"藏"在了一个非常隐蔽的地方，要想"请"它出山，必须通过特殊的手段才行。

点击"开始"菜单，选择菜单上的"运行"选项，在d出的"运行"窗口中输入"Regedit"后，点击"确定"按钮，

这样就启动了注册表编辑器。

点击注册表编辑器的"注册表"菜单，再点击"导出注册表文件"选项，

在d出的对话框中输入文件名"regedit"，将"保存类型"选为"注册表文件"，再将"导出范围"设置为"全部"，

接下来选择文件存储位置，最后点击"保存"按钮，就可将系统的注册表保存到硬盘上。

完成上述步骤后，找到刚才保存备份文件的那个文件夹，就会发现备份好的文件已经放在文件夹中了。

（2）在DOS下备份注册表

当注册表损坏后，WINDOWS（包括"安全模式"）无法进入，此时该怎么办呢？

在纯DOS环境下进行注册表的备份、恢复是另外一种补救措施，下面来看看在DOS环境下，

怎样来备份、恢复注册表。

在纯DOS下通过注册表编辑器备份与恢复注册表前面已经讲解了利用注册表编辑器在WINDOWS环境下备份、

恢复注册表，其实"Regedit.exe"这个注册表编辑器不仅能在WINDOWS环境中运行，也能在DOS下使用。

虽然在DOS环境中的注册表编辑器的功能没有在WINDOWS环境中那么强大，但是也有它的独到之处。

比如说通过注册表编辑器在WINDOWS中备份了注册表，可系统出了问题之后，无法进入WINDOWS，

此时就可以在纯DOS下通过注册表编辑器来恢复注册表。

应该说在DOS环境中备份注册表的情况还是不多见的，一般在WINDOWS中备份就行了，

不过在一些特殊的情况下，这种方式就显得很实用了。

进入DOS后，再进入C盘的WINDOWS目录，在该目录的提示符下输入"regedit"后按回车键，

便能查看"regedit"的使用参数。

通过"Regedit"备份注册表仍然需要用到"system.dat"和"user.dat"这两个文件，

而该程序的具体命令格式是这样的：

Regedit /L:system /R:user /E filename.reg Regpath

参数含义：

/L：system指定System.dat文件所在的路径。

/R：user指定User.dat文件所在的路径。

/E：此参数指定注册表编辑器要进行导出注册表 *** 作，在此参数后面空一格，输入导出注册表的文件名。

Regpath：用来指定要导出哪个注册表的分支，如果不指定，则将导出全部注册表分支。在这些参数中

，"/L：system"和"/R：user"参数是可选项，如果不使用这两个参数，

注册表编辑器则认为是对WINDOWS目录下的"system.dat"和"user.dat"文件进行 *** 作。

如果是通过从软盘启动并进入DOS，

那么就必须使用"/L"和"/R"参数来指定"system.dat"和"user.dat"文件的具体路径，

否则注册表编辑器将无法找到它们。

比如说，如果通过启动盘进入DOS，

则备份注册表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",

该命令的意思是把整个注册表备份到WINDOWS目录下，其文件名为"regedit.reg"。

而如果输入的是"regedit /E D:\regedit.reg"这条命令，

则是说把整个注册表备份到D盘的根目录下（省略了"/L"和"/R"参数），其文件名为"Regedit.reg"。

（ 3）用注册表检查器备份注册表

在DOS环境下的注册表检查器Scanreg.exe可以用来备份注册表。

命令格式为：

Scanreg /backup /restore /comment

参数解释：

/backup用来立即备份注册表

/restore按照备份的时间以及日期显示所有的备份文件

/comment在/restore中显示同备份文件有关的部分

注意：在显示备份的注册表文件时，压缩备份的文件以 .CAB文件列出，

CAB文件的后面单词是Started或者是NotStarted，Started表示这个文件能够成功启动Windows，

是一个完好的备份文件，NotStarted表示文件没有被用来启动Windows，

因此还不能够知道是否是一个完好备份。

比如：如果我们要查看所有的备份文件及同备份有关的部分，命令如下：

Scanreg /restore /comment

注册表恢复

注册表中存放着计算机软硬件的配置信息，病毒、网页恶意代码往往要修改注册表，

平时安装、 *** 作软件也会使注册表内容发生变化。当计算机工作不正常时，

往往可以通过恢复注册表来修复。所以，平时我们应经常备份注册表(运行regedit，导出注册表文件)。

这样，需要时就可以导入过去某个备份，使电脑恢复正常。

如果平时没有导出注册表，则只好通过运行 scanreg /restore来恢复注册表，

或运行scanreg

/fix来修复注册表。不过该命令应该在DOS下执行。对于win98系统，开机时按F8，

选择Command Prompt

Only进入DOS；对于WinMe系统，则可以运行Command进入DOS。当然，也可以用软盘引导系统，

进入C:\windows\command子目录，然后执行上述修复注册表的命令。

目前网页恶意代码最可恶的破坏行为之一是在注册表中禁止了程序运行。

此时因IE无法运行，不能使用在线自动修复；且“微机数据维护”等修复软件也不能运行；

同样也不能导入注册表文件来修复注册表。此时唯一的办法就是在DOS下运行C:\windows

scanreg /restore来修复注册表。

可能是中了木马病毒，恶意软件。试试杀马：

实时防护、全面杀除超过110,000种木马/间谍/蠕虫/广告/恶意软件，包括内存、注册表、网络和文件扫描，包括文件系统、系统进程、系统内存等系统实时防护，支持NTFS数据流、Zip/GZip/Tar/Rar/Cab/Jar等压缩格式格式、Zip/Cab/RAR生成的可执行自解压格式、 CHM(压缩帮助文件)、邮件(EML)和邮箱(Outlook/Foxmail)等。

特点：

实时防护，主动确保安全！

闪电扫描，查杀迅速！

完全免费：我们继承免费的精神，为用户提供优良而且免费的服务！

完全绿色：绝不捆绑任何软件/插件，不用安装！

智能更新，每日信息库更新时刻保障您计算机的安全！

http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=1545587

建议使用360安全卫士, http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=1631981

强劲查杀325款恶意软件，新老恶意软件一个不留

完美卸载424款插件，极大提高系统运行速度

全面诊断系统191个可疑位置，系统状况尽在掌握

庞大知识库支持，可协助识别30466条进程知识

完全免费，无需注册，

即可使用所有功能，提供免费在线升级

不捆绑任何其它软件。

免费杀毒

· 赠送价值320元的正版卡巴斯基杀毒V6.0，病毒库每小时更新，7*24小时全面服务

试试windows清理助手（推荐使用）

一款用户拥有完全控制权的软件清理工具：

1、独有的清理技术，可以彻底清理有驱动保护的恶意软件；

2、引擎和脚本分离，立场中立，清理 *** 作对用户完全透明；

3、自定义查杀规则，控制权完全由用户掌握；

4、开放的用户接口，可以满足您的个性化清理需求,用户自定义脚本文件,实现对一些特殊软件的清理，并可将其共享给所有用户使用！

5、即时更新脚本库，使您拥有更强劲的清理能力！

http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=1631823

试试恶意软件清理助手（推荐使用）

一款很流行的清理恶意软件，还可以清理注册表的项目，很实用，免费升级

http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=1632189

试试Firefox火狐浏览器（本人使用）

Firefox火狐浏览器2.0拥有更人性化界面，能够阻止病毒、间谍软件和d出窗口的侵扰。便捷的导入您的收藏。集成更多有用的功能，例如分页浏览，及时书签，整合搜索框, Firefox将会带给您全新的网络体验。

经常在网上中病毒木马根本的原因是IE浏览器执行脚本文件才中的.所以根本的问题是换浏览器..这贺败正里我可以向你推荐火狐游览器..常在河边走那能不湿鞋. 防d窗,防木马.看网页速度很快.

这样从根本上就杜绝了病毒在游览器中的运行.不然以后没事就是个杀毒...好处自己看吧.防熊猫毒这类的很管用..

火狐下载: http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=1631963

防病毒要尽早.. 别中了以后才想起来杀毒.

分析

该病毒会在登陆特定的网站后进行自动下载黑客程序并执行。卡巴司基不能清除它的原因是：该程序隐藏在C:\Documents and Settings\new\禅悔Local Settings\Temporary Internet Files 其属于系统文件，不可随便清除。

解决

1 将系统还原关闭，防止被感染病毒的系统再次还原。我的电脑-属性-系统还原-关闭系统还原。问题解决后，再恢复原来设置。

2 重新启动电脑，按F8进入安全模式。打开卡巴斯基，查杀病毒。

3 重新启动电脑，恢复系统还原功能。

我就是用此方法把此木马程序解决了。不过杀毒却花费了4个多小时，（这是由于我硬盘装的东西太枯咐多的原故）当然杀毒时间长短与硬盘大小，存盘文件多少及杀毒软件扫描文件精细不同而不同。

发现

在解决问题中，找到2个查杀木马的相关软件。

一，EWIDO 3.5 是一款被公认不错的查杀木马软件，比较小，有中文版，更新时会有点麻烦，详细可见相关下载网站，建议不要使用绿色简体中文版，好象不可更新。用其扫描，速度比较快，但未发现TROJAN-DOWNLOARDER 木马程序。倒是发现了其他的7个感染目标，没多考虑，杀之。

二，一款小巧的查杀木马软件。冰刃ICESWORD1.12 软件简介：冰刃 IceSword v1.12，08月29日发布，这是一斩断黑手的利刃，它适用于Windows 2000/XP/2003 *** 作系统，其内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术，使得这些后门躲无所躲。使用前请详细阅读说明。PS：该软件由08月31日升级更新。原先版本在Windows 2000下运行会造成系统崩溃，但Windows XP/2003下正常，作者已经发现该问题并且已经解决。

我把解决方法写出来，也许对和我一样中了此病毒的朋友们有所帮助。

---