如何找到木马上传路径_木马程序上传资料怎么知道

怎样知道自己的电脑中了木马?更好是简单实用的 *** .

电脑中毒的征兆

在电脑病毒已不再陌生的今天，计算机病毒已经由原始的磁盘带入，变为现在的诸多渠道同时攻击。你也许一直都在担心，我的电脑中毒了吗？下面就将电脑中毒时可能出现的症状汇总如下：

1、电脑运行比平常迟钝，反应相当缓慢，出现蓝屏或死机。

2、程序载入的时间比平常久，有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一个应用程序被载入时，这些病毒将执行它们的动作，因此会花更多的时间来载入程序。

3、对一个简单的工作，磁盘似乎花了比预期要长得多的时间。例如：储存一页的文件若需一秒，但病毒可能会花更多的时间来寻找未感染的文件。

4、出现意外的声音、画面或提示信息及不寻常的错误信息及乱码。尤其是当这种信息频繁出现时，表示你的系统可能已经中毒了！

5、当你没有存取磁盘，但磁盘指示灯一直在亮。硬盘的指示灯无缘无故一直在亮着，说明电脑这时已经受到病毒的感染了。

6、系统内存或硬盘的容量忽然大量减少。有些病毒会消耗可观的内存或硬盘容量，曾经执行过的程序，再次执行时，突然告诉你没有足够的内存可以利用，或者硬盘空间突然变小。

7、可执行程序文件的大小改变了。正常情况下，这些程序应该维持固定的大小，但有些病毒会增加程序文件的大小。

8、文件奇怪消失。

9、文件的内容被加上一些奇怪的资料。

10、文件名称、扩展名、日期、属性被更改过。

谁知道怎么上传报告木马程序啊!!

在各个杀软网站上都有上报邮件地址哦。

可疑程式档案上报地址]国家计算机病毒应急处理中心及反病毒软件厂家

国家计算机病毒应急处理中心 c uAp,!

计算机病毒防治产品检验中心 A ?~4Pe

网 址： e6jdSn

电 话：022-66211488/66211489/66211490 W^:g_

传 真：022-66211155 ;' 'S} ;

电子邮件：contact@antivirus-china.org.cn /xA`VyHO

通信地址：天津市经济技术开发区第四大街80号天大科技园C6 MhFjt

邮政编码：300457 QmPHf*w[

y3V47J2o

1) 金山病毒上报邮箱： {K= [Fu=

/z,+W9`

2) 反黑精英病毒上报邮箱： Support@isecsoft.com GZFL Ju

2ld0w=?+eu

3) 趋势病毒上报邮箱： virus_doctor@trendmicro.com.cn ]' M

所有样本需要统一进行压缩加密处理，压缩格式必须为“.zip”，密码统一为小写”a”。 h2O+"^

!;C *Wsp}

4) 卡巴斯基病毒上报信箱: virus@kaspersky.com.cn s%qKU4@;Q

请将病毒样本压缩,并用 “virus” 作压缩口令 d~J4w

3~!PJI1

5) 瑞星病毒上报信箱是： S}*%l)vfR

Q:B:

6) 江民科技病毒上报信箱是： virus@jiangmin.com fOyLBixR

+H L]t'UEg

7) 木马克星病毒上报信箱是: iparmor@luosoft.com 6!n%S Ut

A %s"WSx,

8) NOD32病毒上报邮箱： sample@nod32.com G =+sW

,wlh0;,

9) 费尔托斯特病毒上报邮箱： virus@filseclab.com bd2"k;Ho

:Rn{%~

10) 木马清除大师病毒上报邮箱： Solve@Lofocus.com BeatTrojan@hotmail.com jv]:`$}G\

c]W]m`:

11) AV95病毒上报邮箱： support@ynxx.com B" wk:\zC

h2u CXD

12) 诺顿病毒上报邮箱： webmaster@symantec.com J%;TK6

Mx-,:a9}

13) 熊猫卫士病毒上报邮箱： platinum@pandaguard.com lB L;aTzo

ea6!Ee

14) KILL病毒上报邮箱： kill@kill.com.cn #Qy*zU#9

v/Z}|dT"

15) vrv病毒上报邮箱： virus@vrv.com.cn W9Bl'e

2 ,;+)

16) McAfee病毒上报邮箱： Support@ncs *** .cn Y 1Bj++?2

x"v5'EpL

17) 东方卫士病毒上报邮箱： dfvs@i110.com 2ffcBv

/^#k /z

18) AntiVir病毒上报邮箱： webmaster@antivir.de pt(GpbtWK

Q9 kKk

19) 蓝锐病毒上报邮箱： support@lanrui.com.cn -d %bc?

?Hf^ yo

20) bulland病毒上报邮箱： support@bullguard.com ~ceGx

`\q4z--

21) product病毒上报邮箱： webmaster@minutegroup.com ?O\n!c

HG=!#-$9

22) FRISK病毒上报邮箱： support@f-prot.com uMPJ

;r^8In@6

23) avast病毒上报邮箱： virus@asw.cz e0j*e7$

UG/0{j5XV

24) Virus病毒上报邮箱： virus@vccn.com.cn K$ #(\-M

,U],Wu)

25) 密码防盗专家病毒上报邮箱： support@pc-phage.com =6ZZ/+6b

%:N5k+}

26) anti病毒上报邮箱： Antivir@DIALS.Ru =x4H+

tL 3]9qfj

27) F-Secure病毒上报邮箱： Anti-Virus-Support@F-Secure.com PM6v+

:E~anH

28) 木马猎手病毒上报邮箱： jike_man@hotmail.com CS:j-

BCJo/m

29) The Cleaner病毒上报邮箱： cleanerhelp@moosoft.com ,gUSW

?yP

30) Trojan Remover病毒上报邮箱：support@simplysup.com 5qt]~v%y

z4HIDb

31) ZoneAlarm病毒上报邮箱： service@digitalriver.com 4`I2tr

aqQ YU5l4~

32) MEFEE病毒上报邮箱： lmxstudio@163.com + 0{m(%i

6}6;%{p"Gu

33) HackTracer病毒上报邮箱： support@neoworx.com k@L},Td

AyKvh

34) Spytech NetArmor病毒上报邮箱：wangqiang88@ )_k"_VVcC

4wjy)VD_

35) LockDown病毒上报邮箱： www@lockdown2000.com H .*:+

#5)0~4%l

36) 盗号统杀病毒上报邮箱： wingsoft@21cn.com 2l]*q|

+`tlr g;

37) 捉鬼队病毒上报邮箱： submit@virusview.net ;;e\"%}@=q

=1Nz* c

38) TrojanHunter病毒上报邮箱： support@trojanhunter.com v: \8

H_BnT #

39) 天网病毒上报邮箱： sales@sky.net.cn ]oT8H?%*Y

Nq]8p =e

40) 木马分析专家病毒上报邮箱： ucdosxielovehy@163.com TF]bmM})0

%MG{KG=o

41) SpyStopper病毒上报邮箱： info@itcompany.com @JW HG1qJ

vCvjb\S

42) Trojan Guarder病毒上报邮箱： support@your-soft.com FOPfo b[

1JQ5bB"

43) Digital Patrol病毒上报邮箱： support@antiviraldp.com *** u8IXW

w"`Zf7a{/

44) Tiny Personal病毒上报邮箱： webmaster@tinysoftware.com @4t_cxmD

i:a*6b.U@N

45) Adware Away病毒上报邮箱： Support@AdwareAway.com N \~}`({

Ucx"\/"

46) SpyCatcher病毒上报邮箱： support@tenebril.com Ku RJo]

)x,/+R]{8l

47) pcSuper病毒上报邮箱： service@merchantexpress.com hgj ]Jr

2 \u;9

48) 木马天敌病毒上报邮箱： Support@kaisheng.Net P BVF'~f@j

4@+']vN4

49) 安铁诺安全专家病毒上报邮箱： virus@sanlen.com.cn ~,_@|,)

Hd\. ,2a"

50) 安博士病毒上报邮箱： support@ahn.com.cn cyLl,OA

]h#QA;

51)木马杀客上报病毒样本邮箱 : kfu@vip.163.com

木马的检测

木马的检测、清除与防范

来源：CNCERT/CC广东分中心编写

木马程序不同于病毒程序，通常并不象病毒程序那样感染文件。木马一般是以寻找后门、

窃取密码和重要文件为主，还可以对电脑进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、

突发性和攻击性。由于木马具有很强的隐蔽性，用户往往是在自己的密码被盗、

机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马，

如何对木马进行清除和防范。

木马检测

1、查看开放端口

当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的，

这样我们就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。

例如冰河使用的监听端口是7626，Back Orifice 2000使用的监听端口是54320等。

假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是中了木马。

查看端口的 *** 有几种：

(1)使用Windows本身自带的netstat命令

C:\netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:113 0.0.0.0:0 LISTENING

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING

TCP 127.0.0.1:5092 0.0.0.0: LISTENING

TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI

TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING

UDP 0.0.0.0:69 *:*

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:1703 *:*

UDP 0.0.0.0:1704 *:*

UDP 0.0.0.0:4000 *:*

UDP 0.0.0.0:6000 *:*

UDP 0.0.0.0:6001 *:*

UDP 127.0.0.1:1034 *:*

UDP 127.0.0.1:1321 *:*

UDP 127.0.0.1:1551 *:*

(2)使用windows2000下的命令行工具fport

E:\softwareFport.exe

FPort v2.0 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

Pid Process Port Proto Path

420 svchost - 135 TCP E:\WINNT\system32\svchost.exe

8 System - 139 TCP

8 System - 445 TCP

768 MSTask - 1025 TCP E:\WINNT\system32\MSTask.exe

8 System - 1027 TCP

8 System - 137 UDP

8 System - 138 UDP

8 System - 445 UDP

256 lsass - 500 UDP E:\WINNT\system32\lsass.exe

(3)使用图形化界面工具Active Ports

这个工具可以监视到电脑所有打开的TCP/IP/UDP端口，还可以显示所有端口所对应的程序所在的路径，

本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于Windows NT/2000/XP平台。

2、查看win.ini和system.ini系统配置文件

查看win.ini和system.ini文件是否有被修改的地方。

例如有的木马通过修改win.ini文件中windows节 的“load=file.exe ，run=file.exe”语句进行自动加载。

此外可以修改system.ini中的boot节，实现木马加载。

例如 “妖之吻” 病毒，将“Shell=Explorer.exe” （Windows系统的图形界面命令解释器）

修改成“Shell=yzw.exe”，在电脑每次启动后就自动运行程序yzw.exe。

修改的 *** 是将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。

3、查看启动程序

如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的，

一般都会放在主菜单的“开始-程序-启动”处，

在Win98资源管理器里的位置是“C:\windows\start menu\programs\启动”处。

通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders 　

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders　

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders

检查是否有可疑的启动程序，便很容易查到是否中了木马。

在Win98系统下，还可以直接运行Msconfig命令查看启动程序和system.ini、win.ini、autoexec.bat等

文件。

4、查看系统进程

木马即使再狡猾，它也是一个应用程序，需要进程来执行。可以通过查看系统进程来推断木马是否存在。

在Windows NT/XP系统下，按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程。

在Win98下，可以通过Prcview和winproc工具来查看进程。查看进程中，要求你要对系统非常熟悉，

对每个系统运行的进程要知道它是做什么用的，这样，木马运行时，

就很容易看出来哪个是木马程序的活动进程了。

5、查看注册表

木马一旦被加载，一般都会对注册表进行修改。一般来说，

木马在注册表中实现加载文件一般是在以下等处：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunServices

此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

““%1” %*”处，如果其中的“%1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，

例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件，

每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

还有“广外女生”木马就是在HKEY_CLASSES_ROOT\exefile\shell\open

\command=““%1” %*”处将其默认键值改成"%1" %*"，

并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices添加了名称为"Diagnostic Configuration"的键值；

6、使用检测软件

上面介绍的是手工检测木马的 *** ，此外，我们还可以通过各种杀毒软件、

防火墙软件和各种木马查杀工具等检测木马。各种杀毒软件主要有：KV3000,Kill3000、瑞星等，

防火墙软件主要有国外的Lockdown，国内的天网、金山网镖等，各种木马查杀工具主要有：The Cleaner、

木马克星、木马终结者等。这里推荐一款工具防护工具McAfee VirusScan ，

它 *** 了入侵防卫及防火墙技术，为个人电脑和文件服务器提供全面的病毒防护。

木马清除

检测到电脑中了木马后，就要根据木马的特征来进行清除。查看是否有可疑的启动程序、

可疑的进程存在，是否修改了win.ini、system.ini系统配置文件和注册表。

如果存在可疑的程序和进程，就按照特定的 *** 进行清除。

主要的步骤都不外乎以下几个：

（但并不是所有的木马清除都能够根据下列步骤删除，这里只是介绍清除木马的基本 *** ）

1、删除可疑的启动程序

查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，

如果存在木马，则除了要查出木马文件并删除外，还要将木马自动启动程序删除。

例如Hack.Rbot病毒、后门就会拷贝自身到一些固定的windows自启动项中：

WINDOWS\All Users\Start Menu\Programs\StartUp

WINNT\Profiles\All Users\Start Menu\Programs\Startup

WINDOWS\Start Menu\Programs\Startup

Documents and Settings\All Users\Start Menu\Programs\Startup

查看一下这些目录，如果有可疑的启动程序，则将之删除。

2、恢复win.ini和system.ini系统配置文件的原始配置

许多病毒会将win.ini和system.ini系统配置文件修改，使之能在系统启动时加载和运行木马程序。

例如电脑中了“妖之吻”病毒后，病毒会将system.ini中的boot节的

“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木马的 *** 是把system.ini给恢复原始配置，

即“Shell=yzw.exe”修改回“Shell=Explorer.exe”，再删除掉病毒文件即可。

TROJ_BADTRANS.A病毒，也会更改win.ini以便在下一次重新开机时执行木马程序。

主要是将win.ini中的windows节的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。

执行清除的步骤如下：

（1）打开win.ini文本文件，将字段“RUN=C:%WINDIR%INETD.EXE”中 等号后面的字符删除，

仅保留“RUN=”。

（2）将被TROJ_BADTRANS.A病毒感染的文件删除。

3、停止可疑的系统进程

木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序，

在对木马进行清除时，当然首先要停掉木马程序的系统进程。

例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外，

还在进程中运行wuamgrd.exe程序，修改了注册表，以便病毒可随机自启动。

在看到有木马程序在进程中运行，则需要马上杀掉进程，并进行下一步操作，修改注册表和清除木马文件。

4、修改注册表

查看注册表，将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门，

向注册表的以下地方：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

添加了键值"Microsoft Update" = "wuamgrd.exe"，以便病毒可随机自启动。

这就需要我们进入注册表，将这个键值给删除。注意：可能有些木马会不允许执行.exe文件，

这样我们就需要先将regedit.exe改成系统能够运行的，比如可以改成regedit.com。

这里就说说如何清除Hack.Rbot病毒、后门的。

（1）将进程中运行的wuamgrd.exe进程停止，这是一个木马程序；

（2）将Hack.Rbot拷贝到windows启动项中的启动文件删除；

（3）将Hack.Rbot添加到注册表中的键值"Microsoft Update"=

"wuamgrd.exe"删除；

（4）手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。

5、使用杀毒软件和木马查杀工具进行木马查杀

常用的杀毒软件包括KV3000、瑞星、诺顿等，这些软件对木马的查杀是比较有效的，

但是要注意时刻更新病毒库，而且对于一些木马查杀不彻底，在系统重新启动后还会自动加载。

此外，你还可以使用The Cleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。

这里推荐一款工具Anti-Trojan Shield，这是一款享誉欧洲的专业木马侦测、拦截及清除软件。

可以在网站下载。

木马防范

随着 *** 的普及，硬件和软件的高速发展， *** 安全显得日益重要。对于 *** 中比较流行的木马程序，

传播时间比较快，影响比较严重，因此对于木马的防范就更不能疏忽。

我们在检测清除木马的同时，还要注意对木马的预防，做到防范于未然。

1、不要随意打开来历不明的邮件

现在许多木马都是通过邮件来传播的，当你收到来历不明的邮件时，请不要打开，应尽快删除。

并加强邮件监控系统，拒收垃圾邮件。

2、不要随意下载来历不明的软件

更好是在一些知名的网站下载软件，不要下载和运行那些来历不明的软件。

在安装软件的同时更好用杀毒软件查看有没有病毒，之后才进行安装。

3、及时修补漏洞和关闭可疑的端口

一般木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，

在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。

4、尽量少用共享文件夹

如果必须使用共享文件夹，则更好设置帐号和密码保护。注意千万不要将系统目录设置成共享，

更好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态，这是非常危险的。

5、运行实时监控程序

在上网时更好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检查。

6、经常升级系统和更新病毒库

经常关注厂商网站的安全公告，这些网站通常都会及时的将漏洞、木马和更新公布出来，

并之一时间发布补丁和新的病毒库等。

采用注册表来管理系统配置，主要是为了提高系统的稳定性，平时操作系统出现的一些问题，

诸如系统无法启动、应用程序无法运行、系统不稳定等情况，很多都是因为注册表出现错误而造成的，

而通过修改相应的数据就能解决这些问题，所以，掌握如何正确备份、恢复注册表的 *** ，

可以让每一个用户更加得心应手地使用自己的电脑。

一、利用注册表编辑器手工备份注册表

注册表编辑器（Regedit）是操作系统自带的一款注册表工具，通过它就能对注册表进行各种修改。

当然，"备份"与"恢复"注册表自然是它的本能了。

（1）通过注册表编辑器备份注册表

由于修改注册表有时会危及系统的安全，因此不管是WINDOWS 98还是WINDOWS 2000甚至WINDOWS XP，

都把注册表编辑器"藏"在了一个非常隐蔽的地方，要想"请"它出山，必须通过特殊的手段才行。

点击"开始"菜单，选择菜单上的"运行"选项，在弹出的"运行"窗口中输入"Regedit"后，点击"确定"按钮，

这样就启动了注册表编辑器。

点击注册表编辑器的"注册表"菜单，再点击"导出注册表文件"选项，

在弹出的对话框中输入文件名"regedit"，将"保存类型"选为"注册表文件"，再将"导出范围"设置为"全部"，

接下来选择文件存储位置，最后点击"保存"按钮，就可将系统的注册表保存到硬盘上。

完成上述步骤后，找到刚才保存备份文件的那个文件夹，就会发现备份好的文件已经放在文件夹中了。

（2）在DOS下备份注册表

当注册表损坏后，WINDOWS（包括"安全模式"）无法进入，此时该怎么办呢？

在纯DOS环境下进行注册表的备份、恢复是另外一种补救措施，下面来看看在DOS环境下，

怎样来备份、恢复注册表。

在纯DOS下通过注册表编辑器备份与恢复注册表前面已经讲解了利用注册表编辑器在WINDOWS环境下备份、

恢复注册表，其实"Regedit.exe"这个注册表编辑器不仅能在WINDOWS环境中运行，也能在DOS下使用。

虽然在DOS环境中的注册表编辑器的功能没有在WINDOWS环境中那么强大，但是也有它的独到之处。

比如说通过注册表编辑器在WINDOWS中备份了注册表，可系统出了问题之后，无法进入WINDOWS，

此时就可以在纯DOS下通过注册表编辑器来恢复注册表。

应该说在DOS环境中备份注册表的情况还是不多见的，一般在WINDOWS中备份就行了，

不过在一些特殊的情况下，这种方式就显得很实用了。

进入DOS后，再进入C盘的WINDOWS目录，在该目录的提示符下输入"regedit"后按回车键，

便能查看"regedit"的使用参数。

通过"Regedit"备份注册表仍然需要用到"system.dat"和"user.dat"这两个文件，

而该程序的具体命令格式是这样的：

Regedit /L:system /R:user /E filename.reg Regpath

参数含义：

/L：system指定System.dat文件所在的路径。

/R：user指定User.dat文件所在的路径。

/E：此参数指定注册表编辑器要进行导出注册表操作，在此参数后面空一格，输入导出注册表的文件名。

Regpath：用来指定要导出哪个注册表的分支，如果不指定，则将导出全部注册表分支。在这些参数中

，"/L：system"和"/R：user"参数是可选项，如果不使用这两个参数，

注册表编辑器则认为是对WINDOWS目录下的"system.dat"和"user.dat"文件进行操作。

如果是通过从软盘启动并进入DOS，

那么就必须使用"/L"和"/R"参数来指定"system.dat"和"user.dat"文件的具体路径，

否则注册表编辑器将无法找到它们。

比如说，如果通过启动盘进入DOS，

则备份注册表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",

该命令的意思是把整个注册表备份到WINDOWS目录下，其文件名为"regedit.reg"。

而如果输入的是"regedit /E D:\regedit.reg"这条命令，

则是说把整个注册表备份到D盘的根目录下（省略了"/L"和"/R"参数），其文件名为"Regedit.reg"。

（ 3）用注册表检查器备份注册表

在DOS环境下的注册表检查器Scanreg.exe可以用来备份注册表。

命令格式为：

Scanreg /backup /restore /comment

参数解释：

/backup用来立即备份注册表

/restore按照备份的时间以及日期显示所有的备份文件

/comment在/restore中显示同备份文件有关的部分

注意：在显示备份的注册表文件时，压缩备份的文件以 .CAB文件列出，

CAB文件的后面单词是Started或者是NotStarted，Started表示这个文件能够成功启动Windows，

是一个完好的备份文件，NotStarted表示文件没有被用来启动Windows，

因此还不能够知道是否是一个完好备份。

比如：如果我们要查看所有的备份文件及同备份有关的部分，命令如下：

Scanreg /restore /comment

注册表恢复

注册表中存放着计算机软硬件的配置信息，病毒、网页恶意代码往往要修改注册表，

平时安装、操作软件也会使注册表内容发生变化。当计算机工作不正常时，

往往可以通过恢复注册表来修复。所以，平时我们应经常备份注册表(运行regedit，导出注册表文件)。

这样，需要时就可以导入过去某个备份，使电脑恢复正常。

如果平时没有导出注册表，则只好通过运行 scanreg /restore来恢复注册表，

或运行scanreg

/fix来修复注册表。不过该命令应该在DOS下执行。对于win98系统，开机时按F8，

选择Command Prompt

Only进入DOS；对于WinMe系统，则可以运行Command进入DOS。当然，也可以用软盘引导系统，

进入C:\windows\command子目录，然后执行上述修复注册表的命令。

目前网页恶意代码最可恶的破坏行为之一是在注册表中禁止了程序运行。

此时因IE无法运行，不能使用在线自动修复；且“微机数据维护”等修复软件也不能运行；

同样也不能导入注册表文件来修复注册表。此时唯一的办法就是在DOS下运行C:\windows

scanreg /restore来修复注册表。

感染木马病毒后，个人信息是怎么泄漏的？

您好：

所谓的病毒其实就是一个远程被控端，这个远程被控端在进入电脑系统以后就会在黑客的主控端上面自动上线IP地址，然后被控端就会按照黑客的指令将被选取的文件或者信息传送到指定的邮箱内，这就是电脑中毒后泄露个人信息和资料的步骤，对于您说的您电脑中毒的情况也不一定就是这样的木马病毒，可能是其他类型的病毒也不一定呢，不过为了您电脑的安全还是建议您使用腾讯电脑管家保护您的电脑并查杀病毒吧，您可以点击这里下载最新版的腾讯电脑管家：腾讯电脑管家最新版下载，安装好以后打开腾讯电脑管家的杀毒功能使用闪电查杀一键杀毒就可以。

腾讯电脑管家企业平台：

怎样查出木马上传的文件

电脑有病毒木马，可以使用可牛免费杀毒进行双查杀，国际品质的卡巴斯基杀毒引擎（KAV8.0）+高效轻巧云引擎，海量反病毒数据库，双剑合璧，彻底解决：木马、病毒、流氓软件、恶意网址等一系列问题。

可牛免费杀毒特色：

* 无需卡巴斯基2010激活码，免费用卡巴斯基引擎

全球领先的卡巴斯基引擎，无需激活，安装后即刻使用，专业品质保证。

* 国际领先双引擎，超强查杀

卡巴斯基杀毒引擎+快速云引擎，海量反病毒数据库，精准查杀各种流行病毒木马。

* 超强保护，阻止病毒入侵

超强保护模式，四大高级防御功能，有效防止一切病毒的入侵，保护电脑安全。

* 独创双杀软保护模式

实时保护双杀软模式，完美兼容传统杀毒软件，多加一个杀软更安全。

* 快速升级及时更新新功能

本地病毒库每小时升级，云安全中心7*24小时高速流转，精准查杀病毒木马。

* 修复漏洞、全方位保护

快速检测系统、软件漏洞，及时提醒智能修复，从根源上关闭病毒入侵的大门。

可牛免费杀毒采用了具备国际品质的卡巴斯基杀毒引擎（KAV8.0）+高效轻巧云引擎，海量反病毒数据库，双剑合璧，病毒木马通杀，是一款真正无需卡巴斯基2010激活码的免费卡巴斯基杀毒软件。

可牛杀毒软件免费下载后可以使用的的病毒查杀方式分为了“快速查杀/全盘扫描/自定义扫描”三种类型。在右侧则有“实时保护状态/安全状况/文件隔离区/专杀工具推荐”这四类信息。

可牛免费杀毒采用了双引擎同时查杀的形式。快速查杀的目标包括了“内存/服务与驱动/其他启动项/系统目录/临时目录”这几个病毒常驻之地。快速扫描速不错，在电脑中只需花费了51秒就能够扫描完毕。当用户进行二次扫描时，更会进行加速扫描，自动跳过已经认证为安全的文件，二次扫描用时2秒。“全盘扫描”目标则包含了“内存/服务与驱动/其他启动项/系统目录/临时目录/所有分区”， 扫描同样采取双引擎同时查杀。 更进一步的加强了对木马病毒的检出与清除能力！

杀毒软件免费下载可信么？为何选用可牛杀毒？

提供免费下载的可牛免费杀毒软件的安全品质绝对毋庸置疑，具备国际品质的卡巴反病毒引擎较之其他杀软已经具备了先天的优势，同时兼具使用云查杀这一全新的安全理念更加封堵住了传统杀软无法识别的最新病毒木马。

可牛免费杀毒集成全球领先的卡巴斯基杀毒引擎、自主研发高效轻巧的云引擎，双剑合璧，完美清除病毒木马，无需激活，永久免费，兼容其他杀毒软件，更稳定、更安全。

百度搜索：可牛免费杀毒

望楼主采纳，

请问木马到底是什么病毒？是怎样窃取个人信息的？

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的 *** 病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机 *** 中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！