一．基本防御思想：备份胜于补救。  1．备份，装好机器之后，首先备份c盘（系统盘）windows里面，和C:\WINDOWS\system32下的文件目录。  运行,cmd命令如下；   dir/a C:\WINDOWS\system32 >c:\1．txt  dir/a c:\windows >c:\2．txt  这样就备份了windows和system32下面的文件列表，如果有一天觉得电脑有问题，同样命令列出文件，然后cmd下面，fc命令比较一下，格式为，假如你出问题那一天system32列表为3．txt，那么fc 1．txt 3．txt >c:/4．txt  因为木马病毒大多要调用动态连接库，可以对system32进行更详细的列表备份，如下  cd C:\WINDOWS\system32  dir/a >c:\1．txt  dir/a *．dll >c:\>2．txt  dir/a *．exe >c:\>3．txt  然后把这些备份保存在一个地方，除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件，虽然有一些是安装软件的时候产生的，并不是病毒木马，但是还是可以提共很好的参考的。  2．备份进程中的DLL, CMD下面命令  tasklist/m >c:/dll．txt  这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下，比较方法如上不多说，对于DLL木马，一个一个检查DLL太麻烦了。直接比较方便一些。  3．备份注册表，  运行REGEDIT，文件——导出——全部，然后随便找一个地方保存。  4．备份C盘  开始菜单，所有程序，附件，系统工具，备份，然后按这说明下一步，选择我自己选择备份的内容，然后把系统备份在一个你选定的位置。  出了问题，同样打开，选择还原，然后找到你的备份，还原过去就是了。  二，基本防御思想，防病胜于治病。  1．关闭共享。关闭139．445端口，终止xp默认共享。  2．关闭服务server,telnet, Task Scheduler, Remote Registry这四个。（注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。）  3．控制面板，管理工具，本地安全策略，安全策略，本地策略，安全选项给管理员和guest用户从新命名，最好是起一个中文名字的，如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。  4．网络连接属性里面除了tcp/ip协议全部其他的全部停用，或者干脆卸载。  5．关闭远程连接，桌面，我的电脑，属性，远程，里面取消就是了。也可以关闭Terminal Services服务，不过关闭了以后，任务管理器中就看不到用户名字了。  三，基本解决方法，进程服务注册表。  1． 首先应该对进程服务注册表有一个简单的了解，大约需要3个小时看看网上的相关知识应该就会懂得了。  2．检查启动项目，不建议使用运行msconfig命令，而要好好察看注册表的run项目，和文件关联，还有userinit,还有shell后面的explorer．exe是不是被改动。相关的不在多说，网上资料很多，有详尽的启动项目相关的文章。我只是说出思路。以下列出简单的35个常见的启动关联项目  1． HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\  2． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\  3． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\．   4． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\  5． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\  6． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\  7． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\  8． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\Run\  9． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\  10． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon  11． HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\  12． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\  13． HKEY_CURRENT_USER\Control Panel\Desktop  14． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager  15． HKEY_CLASSES_ROOT\vbsfile\shell\open\command\  16． HKEY_CLASSES_ROOT\vbefile\shell\open\command\  17． HKEY_CLASSES_ROOT\jsfile\shell\open\command\  18． HKEY_CLASSES_ROOT\jsefile\shell\open\command\  19． HKEY_CLASSES_ROOT\wshfile\shell\open\command\  20． HKEY_CLASSES_ROOT\wsffile\shell\open\command\  21． HKEY_CLASSES_ROOT\exefile\shell\open\command\  22． HKEY_CLASSES_ROOT\comfile\shell\open\command\  23． HKEY_CLASSES_ROOT\batfile\shell\open\command\  24． HKEY_CLASSES_ROOT\scrfile\shell\open\command\  25． HKEY_CLASSES_ROOT\piffile\shell\open\command\  26． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\  27． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\  28． HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline  29． HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline  30． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit  31． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\  32． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run  33． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load  34． HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\  35． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\   3．检查服务，最简单的吧，服务列表太长，我估计你也不一定能全部记住。说一个简单的，运行msconfig，服务，把“隐藏所有的microsoft服务”选中，然后就看到了不是系统自带的服务，要看清楚啊，最后在服务里面找找看看属性，看看关联的文件。现在一般杀毒都要添加服务，我其实讨厌杀毒添加服务，不过好像是为了反病毒。  4．进程，这个网上资料更多，只说明两点，1．打开任务管理器，在“查看”，“选项列”中把“pid”选中，这样可以看到pid。2．点一个进程的时候右键有一个选项，“打开所在目录”，这个很明显的，但是很多哥们都忽略了，这个可以看到进程文件所在的文件夹，便于诊断。  5．cmd下会使用，netstat –ano命令，觉得这一个命令对于简单的使用就可以了，可以查看协议端口连接和远程ip．  6．删除注册表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝  {0D43FE01-F093-11CF-8940-00A0C9054228}  两个项目，搜索到以后你会看到是两个和脚本相关的，备份以后删除，主要是防止一下网上的恶意代码  四，举一个简单的清除例子。  1．对象是包含在一个流行BT绿色软件里面的木马，杀毒可以杀出，但是错误判断为灰鸽子。有的杀毒杀不出来。以下说的是不用任何工具的判断和清除，当然任何工具中包括杀毒。  2．中毒判断：使用时候，忽然硬盘灯无故猛烈闪烁。系统有短暂速度变慢。有程序不正常的反映，怀疑有问题。  2．检查，服务发现多了一个不明服务，文件指向C:\Program Files\Internet Explorer下面的server．exe文件，明显的这不是系统自带的文件，命令行下察看端口，有一个平常没有得端口连接。进程发现不明进程。启动项目添加server．exe．确定是木马。  4．清除：打开注册表，关闭进程，删除启动项目，注册表搜索相关服务名字，删除，删除源文件。同时检查temp文件夹，发现有一个新的文件夹，里面有一个“免杀．exe”文件，删除，清理缓存。当然最好是安全模式下进行。  5．对照原来备份的system32下面的dll列表，发现可疑dll文件，删除，也可以在查看选择“选择详细信息”选择上“创建日期”（这个系统默认是没有添加的），然后查看详细信息，按创建日期显示，可以发现新创建的文件。这个木马比较简单，没有修改文件日期。  在那里的，有时候忘记了清理，病毒如果关联在这个文件上，删除后还会出现的。）