一．基本防御思想：备份胜于补救。

1．备份，装好机器之后，首先备份c盘（系统盘）windows里面，和C:\WINDOWS\system32下的文件目录。

运行,cmd命令如下；

dir/a C:\WINDOWS\system32 >c:\1．txt

dir/a c:\windows >c:\2．txt

这样就备份了windows和system32下面的文件列表，如果有一天觉得电脑有问题，同样命令列出文件，然后cmd下面，fc命令比较一下，格式为，假如你出问题那一天system32列表为3．txt，那么fc 1．txt 3．txt >c:/4．txt

(说明: dir/a是为了察看隐藏文件，备份位置放在c根目录是为了好找)

因为木马病毒大多要调用动态连接库，可以对system32进行更详细的列表备份，如下

cd C:\WINDOWS\system32

dir/a >c:\1．txt

dir/a *．dll >c:\>2．txt

dir/a *．exe >c:\>3．txt

然后把这些备份保存在一个地方，除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件，虽然有一些是安装软件的时候产生的，并不是病毒木马，但是还是可以提共很好的参考的。

2．备份进程中的DLL, CMD下面命令

tasklist/m >c:/dll．txt

这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下，比较方法如上不多说，对于DLL木马，一个一个检查DLL太麻烦了。直接比较方便一些。

3．备份注册表，

运行REGEDIT，文件——导出——全部，然后随便找一个地方保存。

4．备份C盘，（硬盘大的朋友使用）

开始菜单，所有程序，附件，系统工具，备份，然后按这说明下一步，选择我自己选择备份的内容，然后把系统备份在一个你选定的位置。

出了问题，同样打开，选择还原，然后找到你的备份，还原过去就是了。

（说明，这个方法比系统还原好用，而且剩心，只备份才安装时候的系统就好，是最终解决方案。）

二，基本防御思想，防病胜于治病。

1．关闭共享，这个网上说得很多，可以自己搜索，不再详细说明。关闭139．445端口，终止xp默认共享。

2．关闭服务server,telnet, Task Scheduler, Remote Registry这四个。防止一般小黑客常用的at命令等等。其他的服务可以搜索相关资料自己看着办。（注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。）

3．控制面板，管理工具，本地安全策略，安全策略，本地策略，安全选项给管理员和guest用户从新命名，最好是起一个中文名字的，如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。

4．网络连接属性里面除了tcp/ip协议全部其他的全部停用，或者干脆卸载。

5．关闭远程连接，桌面，我的电脑，属性，远程，里面取消就是了。也可以关闭Terminal Services服务，不过关闭了以后，任务管理器中就看不到用户名字了。

（注释，注意如果你是一个喜欢黑客技术的人并且准备学习研究黑客技术，以上设置不适合你，呵呵，另外相关安全细节网上资料很多，不再啰嗦。自己可以搜索看看。）

三，基本解决方法，进程服务注册表。

1． 首先应该对进程服务注册表有一个简单的了解，大约需要3个小时看看网上的相关知识应该就会懂得了。

2．检查启动项目，不建议使用运行msconfig命令，而要好好察看注册表的run项目，和文件关联，还有userinit,还有shell后面的explorer．exe是不是被改动。相关的不在多说，网上资料很多，有详尽的启动项目相关的文章。我只是说出思路。以下列出简单的35个常见的启动关联项目

1． HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\

2． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

3． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\．

4． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\