本文目录一览:
- 1、如何识别电脑病毒
- 2、木马病毒怎么识别涉密计算机
- 3、如何用最简单的方法检查计算机是否中了木马病毒?
- 4、存在电脑中的病毒怎么识别
- 5、如何知道自己的电脑上有没有木马病毒?
- 6、电脑怎么样查杀木马病毒?
如何识别电脑病毒
如何识别电脑病毒
一、文件时间
如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:\windows和c:\windows \system32,有时还有c:\windows\system32\drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
当然我们还有其他的分辨方法。
二、文件名
文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。
我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的`排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。
实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。
三、版本信息
检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。
文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是 1,可以考虑删除了,应该不是声卡的程序了。
版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。
四、位 置
病毒木马喜欢呆的地方是系统文件夹,windows、windows\system32、windows/system32 \drivers,还有c:\programfiles\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared,还有就是临时文件夹、IE缓存。
首先临时文件夹c:\documents and settings\你的用户名\localsettings\temp和c:\windows\temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。
其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32 中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。
还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。
服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。
除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个your image file namehere without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是 debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系统文件或命令,比如svchost.exe或 ntsd -d,这就不要删除文件了,只要把注册表项删除。
还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。
木马病毒怎么识别涉密计算机
为了识别涉密计算机上的木马病毒,首先需要安装可靠的杀毒软件,并定期更新病毒库,以便及时判断和清除木马病毒。其次,需要实施安全防护措施,包括设置防火墙、安装访问控制系统、定期备份数据等,以有效阻止木马病毒的传播。此外,还可以通过检查系统日志、定期扫描网络和安装系统补丁等方式来及时发现木马病毒。
如何用最简单的方法检查计算机是否中了木马病毒?
严格来讲,木马和病毒是两种概念。木马是一种载体,最终的目的是把宿主程序(一般是后门程序和病毒程序)植入目标计算机。
所以你的问题的答案应该是这样的:
对于木马程序,首先应该查看系统进程(使用windows2000/xp的任务管理器或者第三方软件)中有没有异常活动的进程,如果有,仔细检查该进程的来源。
再用工具查看windows的启动项,用winxp下的msconfig或者其他工具都可以。一般木马的入口都在这里,把可疑的启动项禁止,再次启动以确认。
使用netstat程序或者其他工具查看本机的端口开放情况,对于无法确认的开放端口,察看其监听程序是否为合法软件。
最后,可以用专用工具来查杀,比如木马防线,木马克星等工具,防病毒软件在这方面的功能比较弱,但也有一定的功效。
存在电脑中的病毒怎么识别
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack
。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
如何知道自己的电脑上有没有木马病毒?
1、点击“开始”——“运行”,输入"CMD",并按确认,到命令行方式下。
2、在命令行提示符下,输入“NETSTAT
—ano”,这时你检查一下有没有什么可疑的连接,如果有,记下PID,然后回WINDOWS下去打开任务管理器,查看“进程”,如果进程那儿没有显示PID,就点击“查看”——“选择列”,选中PID就能根据你在DOS下查到的PID来看看究竟是什么进程一直连接着你的电脑。
3、如果该进程不是系统进程,应该上网查一下进程来源,看是否是危险进程.
电脑怎么样查杀木马病毒?
在用电脑的过程中,经常会遇到一些木马病毒,那么呢?我分享了电脑查杀木马病毒的方法,希望对大家有所帮助。
电脑查杀木马病毒方法一
木马方面就用金山急救箱或者360急救箱。我的办法,进入安全模式用卡巴全盘查杀和金山急救箱,然后把卡巴解除安装掉,安装NOD32和360急救箱,再次进入安全模式进行查杀。如果这阵容还不行,小红伞、诺顿、大蜘蛛等杀软用一个遍!在牛的病毒也不会逃过这么多的杀软的围剿吧!除非你中了僵尸病毒!如果是那样换电脑吧
呵呵,只要上过网的人,我就不信有没中过不病毒的!别担心!
1***买一套防毒软体***建议买正版***
2***双击滑鼠,开启防毒软体。
3***点选〈查杀病毒〉选项。发现查杀开始了。
4***等待……
5***要是查到了病毒,会自动弹出是否删除、防毒或隔离之类的选项***所有选项都一样***,点选防毒,就OK了。
6***继续等待……
7***再次发现病毒,重复第五步……
8***防毒完成后,点确定,全部OK。
之后,你就按时给防毒软体网上升级,***开启防毒软体有升级选项***,随时查杀病毒。最好按装一个防火墙遇到不明档案或攻击,会自动阻隔!而且今后少去一些小网站下载东西,就好了。
任何病毒在计算机中都是以档案的形式存在的,我们要认识病毒就必须从它的基本存在开始,那我们可以来看一下病毒一般都隐藏在哪里?因为任何病毒还有恶意软体,其本身都是存在一定目的而存在的,因此很少有病毒像正常安装的软体一样有自己独立的目录。
首先,我们需要检视所有隐藏的档案,因为病毒并不会像普通程式一样告诉你它存在,一个好的程式开发者在开发病毒的同时应该也在思考如何让病毒存活的更长,因此就必然需要考虑隐藏病毒档案,现在的防毒软体不断的在更新自己的病毒库,但病毒的出现总是早与防毒软体的,甚至是现在认为很先进的主动防御,其本质只能对付有类似病毒特征的威胁,而无法阻止新病毒的产生。
其次,检查目录或档案的建立时间,并可能发现毒从何来。如今大部分病毒的档案都是存在于系统根目录,这就需要使用者了解计算机的基本档案及型别。但对于遍历所有碟符的就需要细心了。Windows自带的档案搜寻功能可以派上用场。
尽管它复制的到处都是,但这种病毒都只有一个主程式档案,档案大小必然一致。开启档案搜寻的高阶功能,填入EXE档案型别并把档案的大小输入,然后按下回车键,接着藏在您硬碟每个角落的病毒就会被暴露无疑。利用建立时建排序,您可以发现第一个攻击您机器的病毒了。现在所有的病毒资料档案几本都在眼前了,至少是病毒能对你发动攻击的主要成分,那么就请删除它们,把您找到的与任何与病毒相关的EXE、DLL、资料全部删除,但此时是存在威胁的,因为很多病毒是伪装成关键专案的。
另外还是请您非常的小心谨慎,别把不是病毒的档案给误删了,那可是致命的错误!赛门铁克的误杀事件就是因为删除了系统的关键档案。在处理完硬碟病毒后,千万不要重起计算机,那可能会导致前功尽弃,因为有的病毒的正身我们并不能如此轻易的找到。如果有些病毒不以EXE的身份出现,而是其它的比如、RAR等,我们的档案尺寸搜寻法一样适用,换个副档名就行了。不过对于寄生在引导区的病毒需要格外谨慎。
二、进一步发现病毒
硬碟上的病毒虽然已被我们斩草除根,但仍然有许多事情需要我们去做。斩草要除根,因此我们必须修改登录档,系统服务的资讯都储存在登录档里。首先应该做的事是仔细检查你的服务列表,仔细核对每一个没有描述的服务,看是否和你刚结束掉的程序有关。对于中文版Windows的使用者来说,查出病毒服务是有一定优势的,原因说来比较可笑,那就是国外写病毒的程式设计师不懂中文,因此他们不会用中文的描述来将自己伪装成系统服务。因此对于一切英文描述的服务也应该格外注意。
当然现如今的病毒很多都会套接系统的关键程序,它将系统正常的程序进行伪装,或正常程序的载入专案中加入自己的连线。我们可以通过冰刃、卡卡上网助手等工具确定系统的程序项是否被HOOK是否是正常的程序项。当确保程序是安全的,那我们就可以开始修改登录档了,先检查系统起动时自动执行的注册项,看有没有可疑的程式,除去正常软体需要启动时执行外,删除所有不相关的启动项。系统本身的关键启动程式不会放在run中,对于系统执行最关键的其实是服务。不过当你在这里发现病毒时先不要急于删除键值,您应该将它记录下来,看看它对应的程式是否已被你备案。然后将病毒程式可能的名字都复制下来,逐个在登录档中搜索,把找到的所有的匹配项全部删掉。不过这样做还是有一定的危险性,建议在修改登录档前必须做备份。在登录档的查杀和扫描工作结束后,需要再次检查程序列表确保无误后,就可以重起计算机看看病毒是否会再次发作了。
电脑查杀木马病毒方法二
一、使用防毒软体进行防毒
首先进入“安全模式”
进入方法:开机在进入Windows系统启动画面之前按下F8键,接着选择“安全模式”即可!***此方法适用于windows xp和windows 7***
直接执行防毒软体进行查杀即可,多查杀几遍,一般的病毒还是能轻松清除掉的,如果还是查杀无效,甚至防毒软体无法执行的情况,请看下一种清除病毒的方法。
二、使用系统急救箱进行防毒
首先进入“安全模式”
2、这里我推荐360系统急救箱和金山系统急救箱,当然还有其他的系统急救箱,你可以多下载几款试试,基本一些顽固的木马病毒都可以清除的。
三、使用病毒专杀工具进行防毒
这里需要自己判断一下自己中的是什么病毒,中了病毒后,你的系统会出现什么情况,是弹出倒计时的方框还是下载的软体被破坏之类的,你可以根据这些特征,在百度或者其他搜寻引擎进行搜寻,检视是哪种病毒,然后下载病毒专杀工具,然后进行查杀,最好是进入安全模式进行查杀。
四、系统重灌或者还原系统
假如你有安装系统还原的软体可以进行系统还原或者你可以进行系统从新安装,这样也能清除掉病毒。从新安装系统后,最好是再用防毒软体进行查杀或者用系统急救箱再一次进行防毒,这样会比较保险一点。注意要进入安全模式进行查杀病毒。