检测病毒的方法

2008-04-29 08:38:56 转自 秋日之风 | 被5人转藏

小贴士:觉得自己不是弱智的就进来挑战一下吧！

　　一、检查网络连接情况

　　运行“cmd”，输入“netstat-an”命令。这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包括四部分：proto(连接方式)，lacaladdress(本地链接地址)，foreignadress(和本地建立连接的地址)，state(当前端口的状态)。

　　由于不少木马会主动侦听端口，或会链接特定的IP和端口，我们可以在没有正常程序连接网络的情况下，通过检查网络连接情况来发现木马的存在。

　　二、查看目前运行的服务

　　

　　运行“cmd”，输入“netstart”命令。这个命令可查看系统中已开启的服务。

　　如发现不是自己开启的服务，可运行“service.msc”进入服务管理器，找到相应的服务，将其停止并禁用。

　　相关：

　　

　　1.或者运行“msconfig”，也可查看系统中已开启的服务。同时，它还具有隐藏安全服务的功能，从而得到一些多余的服务，根据情况停止和禁用。

　　2.一般而言，正常的windows服务基本上是有描述内容的，少数被黑客或蠕虫病毒伪造的除外。

　　3.右击服务项，查看其属性，可找到“可执行文件的路径”。

　　三、检查系统启动项

　　

　　运行“regedit”，检查HKLM、HKCU、HKU下所有以“run”开头的键值。

　　如发现“木马”程序，需记下该程序的木马名，再在整个注册表里搜索，删除所有该木马的键值。

　　四、检查系统账户

　　

　　运行“cmd”，输入“netuser”命令，可查看计算机有哪些用户；输入“netuser用户名”命令，可查看这个用户属于什么权限。

　　一般来说，除了Administrator属于Administrators组的，其他的用户都不应该属于，如发现其他用户属于该组，可使用“netuser用户名/del”命令将之删除。

　　相关：

　　

　　运行“gpedit.msc”，打开组策略对话框。依次选择“用户配置”——“管理模块”——“系统”——“登录”——“在用户登录时运行这些程序”，最后一项的默认值为“未配置”。

　　五、检查CPU和内存的当前状态

　　

　　运行“cmd”，输入“taskmgr”命令，打开任务管理器。选择“性能”选项卡可以查看CPU和内存的当前状态。如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。

　　相关：

　　

　　同时按下“ctrl+alt+del”3个键或右击任务栏，也可打开任务管理器。

　　六、检查硬盘分区

　　首先，依次打开“我的电脑”——“工具”——“文件夹选项”——“查看”，显示“隐藏的受保护操作系统文件”、“隐藏的所有文件和文件夹”和“隐藏的已知文件类型的扩展名”。

　　然后，到各盘（C盘为主）看看是否出现了多余的文件，特别是以“.exe”结尾的。

　　常见路径包括：

　　C盘——“DocumentsandSettings”——“用户名”——“LocalSettings”——“TemporaryInternetFiles”（清空）

　　C盘——“DocumentsandSettings”——“用户名”——“LocalSettings”——“Temp”（清空）

　　C盘——“Windows”——“system32”（打开后，对图标按类型排序，看有没有流行病毒的执行文件存在，尤其是扩展名为“.exe”的文件。）

　　C盘——“Windows”——“system32”——“drivers”——“etc”——“hosts”(打开后，文件默认最后一行有效值为“127.0.0.1localhost”,病毒易对其进行修改。文件如被篡改，会造成能访问一般网站，却不能访问一些安全厂商的网站，出现杀毒软件不能升级的情况。可将“hosts”文件设置为“只读”。)

　　C盘——“Windows”——“system32”——“Wins”

　　C盘——“Windows”——“system”（不应有扩展名为“.exe”的文件。）

　　C盘——“Windows”——“Tasks”、“Nif”、“Debug”、“Fonts”和“Help”

　　C盘——“Windows”——“Prefetch”(清空预设文件)

　　C盘——“Windows”——“Temp”(清空)

　　C盘——“SystemVolumeInformation”——“_restore”(可先取消系统还原功能后，再将带病毒的文件删除。关闭WindowsXP系统还原的方法：右击“我的电脑”——“属性”——“系统还原”——在“在所有驱动器上关闭系统还原”前面打勾即可。)

　　C盘——“AUTOEXEC”和“CONFIG”(查看着两个文件是不是0kb，如果不是，须清空里面的内容。)

　　相关：

　　

　　如发生文件不能被删除的情况，请到安全模式下或用类似“Unlock”之类的强制删除软件进行删除；如确定某文件是病毒，先不要删除它，找到该文件所在的文件夹，按时间排列图标，删除和这个病毒同一时间前后几分钟建立的所有文件。