当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 检查电脑是否中病毒和木马的顺序

安全基础
实现高效安全的网络访问控制的解决方案
学会利用加密方法保障电子邮件系统安全
新手入门:常见的病毒前缀的解释
通讯录导进Gmail的经验操作技巧
保障局域网访问internet的速度与安全的技巧
局域网的网上邻居中隐藏共享文件夹
常用的防范sniffer的方法
排除无线网络安全隐患的八大主流技术
outlook或foxmail邮件转入evolution的方法
在浏览器中直接查看照片的EXIF信息
U盘病毒彻底防御办法
多余的本地连接删除的方法
v6677.cn强制设为首页后怎么办?
电脑感染木马桌面多IE图标无法删除
正版用户如何删除产品密钥
如何全面防范邮件病毒的侵蚀
局域网内部禁止修改IP地址
网络钓鱼诈骗也可以专挑有钱人?
视频文件会存在病毒怎么杀毒?
看似不起眼的小动作破坏你计算机安全策略

安全基础 中的 检查电脑是否中病毒和木马的顺序


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 104 ::
收藏到网摘: n/a

  如果其中任意一步发现病毒,就不用继续向后判断了。

  一、进程

  首先排查的就是进程了,方法简单,开机后,什么都不要启动!

  第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。
  PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!

  第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
  PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。

  第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
  PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。

  二、自启动项目

  进程排查完毕,如果没有发现异常,则开始排查启动项。

  第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有 Microsoft 服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
  PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。

  第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。

  第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
  PS:这个需要有一定的经验。

  三、网络连接

  ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。

  然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到http://www.ip138.com/查询,对应的进程和端口等信息可以到Google或百度查询。

  如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。

  四、安全模式

  重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除!

  五、映像劫持

  打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。

  六、CPU时间

  如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:

  打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了System Idle Process和SYSTEM以外,CPU时间较大的进程,这个进程需要一起一定的警惕。

  目前这些办法足以应付常见的病毒和木马了。