当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 检查电脑是否中病毒和木马的顺序

安全基础
防火墙防止DDOS分布式拒绝服务攻击的几种方式
防止SYN泛洪攻击 开启路由器的TCP拦截
浅谈除不尽理还乱的Spyware间谍软件
自己动手清除电脑中的木马程序
动态嵌入式DLL木马发现与清除
通配符的魔力—轻装入侵个人主页空间
黑客又出手 全面解析新时代的网络攻击技术
我的黑色工具箱—几款黑客工具的使用方法
应对DoS/DDoS攻击的十条军规
浅析2004年出现的4种新后门技术
上网需注意:黑客攻击方式的四种最新趋势
让木马不在兴风作浪:解析木马程序的藏身之处
黑客入侵攻击方式的 四种最新趋势
简述一次操作系统被入侵之后的修复过程
黑客利用RM在IE上强行打开本地文件
黑客扫描特征及易受攻击的端口
预防DDoS攻击的十项安全策略
关于木马隐藏一个的新方法
用Norton Internet Security拦截黑客攻击
Win 2000密码破解不完全指南

安全基础 中的 检查电脑是否中病毒和木马的顺序


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 120 ::
收藏到网摘: n/a

  如果其中任意一步发现病毒,就不用继续向后判断了。

  一、进程

  首先排查的就是进程了,方法简单,开机后,什么都不要启动!

  第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。
  PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!

  第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
  PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。

  第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
  PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。

  二、自启动项目

  进程排查完毕,如果没有发现异常,则开始排查启动项。

  第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有 Microsoft 服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
  PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。

  第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。

  第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
  PS:这个需要有一定的经验。

  三、网络连接

  ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。

  然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到http://www.ip138.com/查询,对应的进程和端口等信息可以到Google或百度查询。

  如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。

  四、安全模式

  重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除!

  五、映像劫持

  打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。

  六、CPU时间

  如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:

  打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了System Idle Process和SYSTEM以外,CPU时间较大的进程,这个进程需要一起一定的警惕。

  目前这些办法足以应付常见的病毒和木马了。