检测出的木马程序,如何确定有否危害

怎样判断一个软件是否真有木马？~

你好，判断一个软件是否含有木马，必须使用杀毒软件对其进行检测。

以腾讯电脑管家为例，打开管家杀毒页面，然后指定扫描存放你要扫描文件的文件夹，然后对其进行病毒检测即可：



有其他问题欢迎到电脑管家企业平台咨询，我们将竭诚为您服务！

电脑管家企业平台：http://zhidao.baidu.com/c/guanjia
腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

是真的，网页挂马的危害是我们很难意识到的，它可以安装恶意程序和清理非自己的恶意程序，可谓无恶不作，不过腾讯电脑管家可以及时发现并查杀该木马，这样你的电脑就会比较安全，可以放心使用喽。再有一个就是一定要安装软件厂家发布的安全补丁软件哦！双重保护我们的电脑，自己就不用那么害怕了。

同意楼上几位的看法.然后给你解释下:
0x64a0a937指令引用的0x00af7006内存.该内存不能为read
出现这个现象有方面的，一是硬件，即内存方面有问题，二是软件，这就有多方面的问题了。

一：先说说硬件：

一般来说，电脑硬件是很不容易坏的。内存出现问题的可能性并不大（除非你的内存真的是杂牌的一塌徒地），主要方面是：1。内存条坏了（二手内存情况居多）、2。使用了有质量问题的内存，3。内存插在主板上的金手指部分灰尘太多。4。使用不同品牌不同容量的内存，从而出现不兼容的情况。5。超频带来的散热问题。你可以使用MemTest 这个软件来检测一下内存，它可以彻底的检测出内存的稳定度。

二、如果都没有，那就从软件方面排除故障了。

先说原理：内存有个存放数据的地方叫缓冲区，当程序把数据放在缓冲区，需要操作系统提供的“功能函数”来申请，如果内存分配成功，函数就会将所新开辟的内存区地址返回给应用程序，应用程序就可以通过这个地址使用这块内存。这就是“动态内存分配”，内存地址也就是编程中的“光标”。内存不是永远都招之即来、用之不尽的，有时候内存分配也会失败。当分配失败时系统函数会返回一个0值，这时返回值“0”已不表示新启用的光标，而是系统向应用程序发出的一个通知，告知出现了错误。作为应用程序，在每一次申请内存后都应该检查返回值是否为0，如果是，则意味着出现了故障，应该采取一些措施挽救，这就增强了程序的“健壮性”。若应用程序没有检查这个错误，它就会按照“思维惯性”认为这个值是给它分配的可用光标，继续在之后的执行中使用这块内存。真正的0地址内存区储存的是计算机系统中最重要的“中断描述符表”，绝对不允许应用程序使用。在没有保护机制的操作系统下(如DOS)，写数据到这个地址会导致立即当机，而在健壮的操作系统中，如Windows等，这个操作会马上被系统的保护机制捕获，其结果就是由操作系统强行关闭出错的应用程序，以防止其错误扩大。这时候，就会出现上述的内存不能为“read”错误，并指出被引用的内存地址为“0x00000000“。内存分配失败故障的原因很多，内存不够、系统函数的版本不匹配等都可能有影响。因此，这种分配失败多见于操作系统使用很长时间后，安装了多种应用程序(包括无意中“安装”的病毒程序)，更改了大量的系统参数和系统档案之后。

在使用动态分配的应用程序中，有时会有这样的情况出现：程序试图读写一块“应该可用”的内存，但不知为什么，这个预料中可用的光标已经失效了。有可能是 “忘记了”向操作系统要求分配，也可能是程序自己在某个时候已经注销了这块内存而“没有留意”等等。注销了的内存被系统回收，其访问权已经不属于该应用程序，因此读写操作也同样会触发系统的保护机制，企图“违法”的程序唯一的下场就是被操作终止执行，回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊！像这样的情况都属于程序自身的BUG，你往往可在特定的操作顺序下重现错误。无效光标不一定总是0，因此错误提示中的内存地址也不一定为 “0x00000000”，而是其它随机数字。

首先建议：

1、 检查系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统，从而导致操作系统异常。平常应加强信息安全意识，对来源不明的可执行程序绝不好奇。

2、 更新操作系统，让操作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。有时候操作系统本身也会有BUG，要注意安装官方发行的升级程序。

3、 尽量使用最新正式版本的应用程序、Beta版、试用版都会有BUG。

4、 删除然后重新创建 Winnt\System32\Wbem\Repository 文件夹中的文件：在桌面上右击我的电脑，然后单击管理。在"服务和应用程序"下，单击服务，然后关闭并停止 Windows Management Instrumentation 服务。 删除 Winnt\System32\Wbem\Repository 文件夹中的所有文件。（在删除前请创建这些文件的备份副本。）打开"服务和应用程序"，单击服务，然后打开并启动 Windows Management Instrumentation 服务。当服务重新启动时，将基于以下注册表项中所提供的信息重新创建这些文件： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\Autorecover MOFs

下面搜集几个例子给大家分析：

例一：IE浏览器出现“0x0a8ba9ef”指令引用的“0x03713644” 内存，或者“0x70dcf39f”指令引用的“0x00000000”内存。该内存不能为“read”。要终止程序，请单击“确定”的信息框，单击“确定”后，又出现“发生内部错误，您正在使用的其中一个窗口即将关闭”的信息框，关闭该提示信息后，IE浏览器也被关闭。解决方法：

1、 开始-运行窗口，输入“regsvr32 actxprxy.dll”回车，接着会出现一个信息对话 框“DllRegisterServer in actxprxy.dll succeeded”，确定。再依次运行以下命令。（这个方法有人说没必要，但重新注册一下那些.dll对系统也没有坏处，反正多方下手，能解决问题就行。）

regsvr32 shdocvw.dll

regsvr32 oleaut32.dll

regsvr32 actxprxy.dll

regsvr32 mshtml.dll

regsvr32 msjava.dll

regsvr32 browseui.dll

regsvr32 urlmon.dll

2、 修复或升级IE浏览器，同时打上系统补丁。看过其中一个修复方法是，把系统还原到系统初始的状态下。建议将IE升级到了6.0。

例二：有些应用程序错误: “0x7cd64998” 指令参考的 “0x14c96730” 内存。该内存不能为 “read”。解决方法：Win XP的“预读取”技术这种最佳化技术也被用到了应用程序上，系统对每一个应用程序的前几次启动情况进行分析，然后新增一个描述套用需求的虚拟“内存映像”，并把这些信息储存到Windows\Prefetch文件夹。一旦建立了映像，应用软件的装入速度大大提高。XP的预读取数据储存了最近8次系统启动或应用软件启动的信息。建议将虚拟内存撤换，删除Windows\Prefetch目录下所有*.PF文件，让windows重新收集程序的物理地址。

例三：在XP下双击光盘里面的“AutoRun.exe”文件，显示“0x77f745cc”指令引用的“0x00000078”内存。该内存不能为 “written”，要终止程序，请单击“确定”，而在Windows 98里运行却正常。解决方法：这可能是系统的兼容性问题，winXP的系统，右键“AutoRun.exe”文件，属性，兼容性，把“用兼容模式运行这个程序”项选择上，并选择“Windows 98/Me”。win2000如果打了SP的补丁后，只要开始，运行，输入：regsvr32 c:\winnt\apppatch\slayerui.dll。右键，属性，也会出现兼容性的选项。

例四：RealOne Gold关闭时出现错误，以前一直使用正常，最近却在每次关闭时出现“0xffffffff”指令引用的“0xffffffff”内存。该内存不能为 “read” 的提示。解决方法：当使用的输入法为微软拼音输入法2003，并且隐藏语言栏时（不隐藏时没问题）关闭RealOne就会出现这个问题，因此在关闭RealOne 之前可以显示语言栏或者将任意其他输入法作为当前输入法来解决这个问题。

例五：我的豪杰超级解霸自从上网后就不能播放了，每次都提示“0x060692f6”（每次变化）指令引用的“0xff000011”内存不能为 “read”，终止程序请按确定。解决方法：试试重装豪杰超级解霸,如果重装后还会，到官方网站下载相应版本的补丁试试。还不行，只好换就用别的播放器试试了。

例六：双击一个游戏的快捷方式，“0x77f5cd0”指令引用“0xffffffff”内 存，该内存不能为“read” ，并且提示Client.dat程序错误。解决方法：重装显卡的最新驱动程序，然后下载并且安装DirectX9.0。

例七：一个朋友发信息过来，我的电脑便出现了错误信息:“0x772b548f”指令引用的“0x00303033”内存，该内存不能为 “written”,然后QQ自动下线，而再打开QQ，发现了他发过来的十几条的信息。解决方法：这是对方利用QQ的BUG，发送特殊的代码，做QQ出错，只要打上补丁或升级到最新版本，就没事了。

这是一个网页病毒,卡巴斯基既然已经检测到了。说明他已经封杀它了。你的电脑现在应该没有病毒。

装360安全卫士！扫描木马及恶意代码！

已经隔离了

没事 放心用把

---

木兰县15020766008： 360里的木马扫描中扫描出来的木马,都是有害的嘛!!! - ？
政周君力： 楼住,别犹豫直接删除. 基本上都是对的,如果是重要文件,它回提醒你说是重要文件 是否要删除的,而且如果是重要文件,那也是被感染了,还不如重新做系统算了

木兰县15020766008： 杀毒软件怎样判断一个文件有毒,还有它的杀毒过程是怎样的? - ？
政周君力： 特征码技术:基于对已知病毒分析、查解的反病毒技术 目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行,亦即在查病毒时采用特征码查毒,在杀病毒时采用人工编制解毒代码.特征码查毒方案实际上是人工查毒经验...

木兰县15020766008： 简述什么是木马,木马的危害和手动清除木马的方法 - ？
政周君力： 什么是木马? 木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事). “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖...

木兰县15020766008： 杀毒软件是如何判断病毒(木马)? - ？
政周君力： 杀毒软件是如何判断一个程序是病毒?杀毒软件是根据提取一个程序的一部分特征码与杀毒软件中的病毒库中的代码来进行比较来判断一个程序是否是病毒/或木马的、杀毒软件常见的查杀方法、(1)文件查杀 是我们的病毒特征码与杀毒软件...

木兰县15020766008： 我的电脑查到了以下木马病毒,请问一下有什么危害~!？
政周君力： 1.Hacker 就是骇客的意思.黑客编的,是病毒或木马.Trojan开头的一般是木马. 对于时下流行的“木马”一说,简单的理解就是一种病毒. “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地...

木兰县15020766008： 木马病毒有哪些危害? - ？
政周君力： 盗号只是其中一种, 木马控制者可以利用他控制的电脑群来攻击其他电脑或服务器. 可以利用你的电脑当跳板,来做违法的事.如果违法的事很严重,可能会有警察来你家调查你电脑? 可以控制你的摄象头和耳麦,偷窥你的隐私!

木兰县15020766008： 如何用最简单的方法检查计算机是否中了木马病毒? - ？
政周君力： 当然了, 1.杀毒软件不是专门对付木马的,用杀毒软件查木马,至少不精确 2.用杀毒软件查木马,要扫描计算机,平时哪来那么多时间让你耗正确的方法是: 1.让机器空跑,看有没有大量数据与网络交换(有就是征兆) 2.看任务管理器,有没有可疑的没见过的进程(有就是有问题) 以上只要30秒 3.仔细点还可以查看一下计算机有没有开放高端端口(端口数字越大,就越是木马)

木兰县15020766008： 木马程序如何识别?隐形木马如何清除?？
政周君力： 木马,是黑客用来控制他人电脑和窃取他人密码的工具,多会盗取用户的帐号,密码,以取得利益..木马,不是病毒,但可以把它看成是病毒,它的危害不比病毒小,如果中了木马,你只要安装杀毒软件查杀就可以了,对于难以查杀的木马,可以使用360急救箱查杀.

木兰县15020766008： 中了一个木马!不知道后果会不会很严重! - ？
政周君力： lsass.exe病毒木马手工清除方法 病毒症状 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有...

木兰县15020766008： 关于开机检测到的木马问题？
政周君力： 可能是由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们.此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难....