windows之家1.怎样查看电脑是否中木马
其实想看自己中木马没有很简单(也就是中了会有什么状况)
如果自己机器突然变的很慢,发现哪个进程占用很高的CPU等。那你就怀疑一下自己有没有中木马。
检查方法:木马必须两个程序(一个是客户端,即控制端,另一个是服务端,即被控制端。)
那么当你把你所以连接网络的软件,比如说QQ,IE,KUGOO等等需要连接网络的都关掉。
打开运行,敲入CMD回车。在命令提示提示符中输入 netstat -an 然后再回车
出现了很多TCP连接的IP和端口。
看一下还有没有连接的端口,有的话那就中了木马!~连接的端口显示为ESTABLISHED(特别注意端口号为8000的,那一定中了灰鸽子,灰鸽子默认接受端口号就是8000)。
2.怎样真正确定电脑里没有木马和病毒?
在你的杀毒软件的病毒隔离系统那里查看隔离的病毒文件,右键看看有没有删除的选项,并把它删除。
没找到也不用拍,如果不拍麻烦,最好是重新全盘杀一次毒,这样比较彻底。另一种我比较喜欢的而方法就是,利用杀毒软件查出的病毒的路径,并记住病毒的文件路径。
自己到那个路径的文件夹看看有没有那个病毒文件,但是你要注意的是,别以为没看见就是没有病毒。有些病毒是电脑一启动就会重新激活并运行,如果有那个病毒文件你就试试把它删除,如果不能删除,建议你用兵刃,俗称“瑞士军刀”是电脑高手对付病毒的利器,我自己就经常使用,自己感觉还行,能彻底删除病毒,但是需要有使用该软件的基本知识,如果你有兴趣的话,可以先到网上学学使用的技巧。
软件名字叫IceSword 是英文的软件,但是有中文版。你可以下载,我有一个,在我的空间里。
网址是: 这个软件不弄乱用,它能把病毒的文件删除,前提是你要知道病毒的路径,再用该软件找到病毒的文件,先不用怕,你肯定会说文件很多,怎么知道是哪个吧,这个软件能把该目录的文件按时间的顺序排列的,如果时间是倒过来的。你点击时间就行了,会自动换排列的方式,再把和病毒文件创建的时间一致的或者和病毒创建时间超近的(就是差那么几秒的或者10多秒的,以为文件很可疑),右键把要删除的文件全部选上,点击强行删除。
就删除了。
3.如何才能知道自己的电脑上有没有中了木马?
有一个办法:在电脑中随便找到一个文件夹,一般文件夹只有文件名没有其它的东西在上面。
如果文件名后面是以.exe结尾的话,那么可能就中了木马了。如果不记得了,就再点进去(一般它都是会伪装成一个可执行程序),如果里面的文件夹或者其他的文稿都被修改成了exe格式的话,那就很可能是中木马了。
(除了应用程序)还有一种:启动任务管理器。一般正常情况下,如果你没有运行任何程序的话,CPU的负载会很低,如果CPU在你没有运行任何程序的话,CPU负载还是很高的话,那么也是有可能中了木马了。
希望对您有所帮助。
4.怎么看你的电脑没有木马病毒
用金山木马专杀特洛伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在你并不知情的的状态下控制你或者监视你的电脑。
下面就讲讲木马经常藏身的地方和清除方法。 首先查看自己的电脑中是否有木马 1、集成到程序中 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。
而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。
具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。 5、内置到注册表中 上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
6、在System.ini中藏身 木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。
再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。 7、隐形于启动组中 有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。
动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦! 8、隐蔽在Winstart.bat中 按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。
这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中 即应用程序的启动配置文件,控制端利用这些文件。
5.如何才能知道电脑有没有中“木马病毒”
具体如下:
一、CPU的利用率在电脑没有处理任何任务的时候通常都是百分之零到百分之一的如果系统没有运行任何程序和任务而且利用率超过10%那一定是有古怪的,这个时候就千万要注意了。
二、进程,电脑在没有任何处理任务和程序的时候一般进程都是很熟悉的,如果进程中有很多莫名其妙的点exe的进程那么这个时候可要注意了。一般系统进程都是很标准的英文或者英文所限,例如alg.exe,如果实在无法判断某一个进程是否为病毒木马程序,可以把这个进程的名字记下来,百度一下马上就会有答案了!
三、看网络流量及端口号
看网络流量这里以360防火墙为例吧
6.如何知道自己是不是中木马
在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。
当然你也得看清楚,因为好多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。
正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“AcidBatteryv1.0木马”,它将注册表“HKEY-LOCAL-”下的Explorer键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-”、“HKEY-USERS****”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-”下找到“木马”程序的文件名,再在整个注册表中搜索即可。 知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。
然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell='木马'文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。
至此,我们就大功告成了。
7.怎样才能知道我的电脑有没有中病毒啊
一、中毒的一些表现 我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。
例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。 二、中毒诊断 1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。
暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被修改为正常服务内容),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:\winnt\system32\explored.exe,计算机中招。
有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。 3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。
主要看 Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个 RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。
随着经验的积累,你可以轻易的判断病毒的启动项。 4、用浏览器上网判断。
前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如 , 这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。 5、取消隐藏属性,查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空,表明电脑已经中毒;打开 system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。
顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;drivers\etc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。 6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、杀毒 1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在 Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。 3、如果文件system32\drivers\etc\hosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。
再把host设置成只读。 4、重启电脑,摁F8进“带网络的安全模式”。
目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。 5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。 7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。 9、上步完成后,重启计算机,完成所有操作。
四、建议 防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。
在具备条件的大中型网络里,应该软硬兼施、立体防护。理想得到情况是: Internet的接入处是外网防火墙;紧接着是防毒网关;然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
在此我可以提下hips(主机入侵防御体系),这个被称为系统防火墙,和典型的防火墙有明显的差别,该类软件可以最有效得阻止本地计算机各项值的修改,比如注册表,文件建立等等,在某种意义上将完全可以代替杀软和网络防火墙。
8.怎么样看电脑上有没有中病毒啊.
不嫌麻烦的话就按下面的找下看看.不知道是不是你想要的.
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup(开始菜单的启动项),在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini(msconfig里有或sysedit)也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
查看“svchost”进程。
Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。
如何才能辨别哪些是正常的Svchost.exe进程,而哪些是病毒进程呢?
Svchost.exe的键值是在“HKEY_LOCAL_ ”,每个键值表示一个独立的Svchost.exe组。
微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。
如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
转载请注明出处windows之家 » Win10怎么看有没有木马