篇一:个人电脑中木马或病毒简易自查
PC机中木马或病毒简易自查
一. CMD命令查看可疑账号
net user
如果出现类似下图中hacker账号,不是自己建立的、可疑的账号,基本肯定中木马了。
如果没有可疑账号,但是guest账号无缘无故开启了,查看下guest账号的属性,看下是不是被提升到了administrator权限.
命令net user guest
上图中 account active 是no,就是说明guest账号现在没有开启,安全。
如果出现:
Account active 是yes,而且最后第三行Local group Memberships 中有 administrators,就说明现在你的机器的来宾账号被人家恶意提权到了管理员权限,“非常危险“。
装杀软,查毒。不放心的可以重装system。
二. 查看可疑进程。
怎么看?
简单,就一个个看,一般很弱智的木马或病毒会伪装成非常容易识别的样子,比如1.exe、(一看就是木马)
2.exe 、(一看就是木马)
winLogom.exe 、(windows正常的应该是winlogon.exe)
exploier.exe (windows正常的是explorer.exe)
等等。
因为很少有人没事会去看进程,像我这种每天检查进程的比较少。。
如果觉得吃不准,可以看这个进程旁边的用户名,没有用户名的比较危险,多看看。
如果看到2个很像的,可以试试关掉一个,一般系统进程如果你关掉,它自己会再启动。 病毒或木马并不会。
查出可疑进程,95%中招了。装杀软,查杀!!!,推荐一键ghost恢复system.
三. 查看可疑系统服务
按住键盘win键+R键,调出运行,输入命令services.msc
我是英文系统,抱歉。。。
查看几个重点服务
(1)。Telnet服务
原因:telnet服务win7系统默认是关闭的,没有开启,如果看到telnet服务是自动开启状态,中招了。中的很大招。telnet服务很危险很危险。
解决:先右键停止服务,改成禁用状态,打开控制面板—》程序与功能(就是删除软件的那个)—》左边有个”打开或关闭windows功能“
确保“telnet服务“和”telnet客户端”2个前面勾被去掉,然后确定,等待windows完成配置。
(2)。打印机服务
中文系统名字:打印机服务
原因:如果你的PC机根本没有连接打印机,而这个服务或者长的像这个服务的服务是”自动开启“状态,恭喜你,你又中招了,而且是大招。
解决:右键停止服务,改成禁用状态。装杀软,查杀。
我以前做的木马基本是模仿打印机服务,因为太像了,有时候自己都分辨不出。
(3)。模仿支付宝的服务
不确定是不是真的支付宝服务,双击服务,看程序路径:
如果程序的路径不是你安装支付宝的路径,恭喜你,中招了。
速度用其他电脑或手机修改支付宝密码,你懂的。
(4)。其他服务名字明显很挫,大小写字母混杂的(windows自己的服务都是首字母大写,其他小写),或者名字没什么破绽,但是旁边服务描述写的简单的一塌糊涂或者没有描述的,基本就是木马或病毒。
解决:右键停止服务,改成禁用状态。装杀软,查杀。
篇二:十大电脑中毒症状
十大电脑中毒症状
很多网友对电脑中毒的印象还停留在互联网早期,比如屏幕上爬满花花绿绿的虫子、桌面壁纸不停晃动、严重的是很多文件被病毒感染成奇怪的图标??其实随着互联网应用越来越普及,单纯破坏和恶作剧的病毒越来越少,取而代之的是流氓广告程序和隐藏极深的各类木马。近日,360安全中心总结了10类最常见的电脑中木马病毒现象,网友们可据此判断电脑系统是不是正处在危险之中。
一、IE等浏览器主页变成了陌生网址,通常很难改回成自己习惯的主页,这是木马通过推广流氓网站赚取“推广费”;
二、电脑桌面多出来“免费电影”、“网址导航”、“网上淘宝”、“在线小游戏”等广告图标,点开后会打开特定的网页,同样是木马作为推广工具的一种表现;
三、如果你的网络状况正常,QQ或游戏却忽然掉线,这很可能是盗号木马在暗中捣鬼,必须立刻登陆QQ或游戏官网,使用密保卡找回帐号,有条件的网友应换一台安全的电脑进行上述操作。同时切记,在查杀木马之前,一定不要登陆游戏输入“仓库”密码,以免“仓库”也被盗号者洗劫一空;
四、鼠标自己移动、摄像头自己打开、硬盘灯无故闪烁??这些并不是灵异现象,很可能正有人用木马远程控制你的电脑,最恰当的做法同样是全盘扫描查杀;
五、一直在桌面右下角勤恳工作的安全软件打不开了,点快捷方式无法运行、安全厂商的官网也无法访问,这是非常糟糕的一类情况,通常意味着一群木马正打算在你电脑里大干一场。当然这时你并不一定需要重装系统,从其它电脑上拷贝一份“360系统急救箱”就能解决顽固木马的清理工作;
六、有时你会发现,浏览器并不会老老实实访问地址栏里输入的网址,比如想访问网站A,打开的却是网站B,这通常是木马篡改了DNS域名解析的结果,还有一类情况是木马替换了系统正常的hosts文件;
七、如果有人告诉你,你的QQ或是MSN经常发一些垃圾广告信息、甚至是借钱的消息,毫无疑问你的聊天帐号是被盗用了。有可能是木马盗号,也有可能是你在某些交友类网站上使用了“邀请好友”功能,泄露了自己的聊天帐号和密码。这时,更改密码是必须的,扫描查杀木马也很有必要;
八、还有一类情况也和QQ有关:不少网站页面上悬浮着伪造的“QQ中奖”消息,很多人一看就知道是假的。但如果桌面右下角的QQ图标变成闪烁的中奖消息,这就是电脑中
毒的现象了。有些木马能够隐藏QQ图标,代之以虚假的钓鱼信息。更可怕的是,这类木马还能读取你的QQ号码,把号码显示在消息框中,迷惑性之强足以以假乱真;
九、经常有陌生网友在网上交换照片,其中就混杂了不少木马程序。简单的判断方式是,查看对方发来的文件类型,如果表面上是张图片,文件后缀却是exe、com、src等可执行程序,当你点击这样的“图片”,毫无疑问电脑就会被木马入侵。千万不能轻视这类木马传播手段,一位网名“孤魂”的黑客就以“发照片”的名义发送木马,盗取了7位女网友的30余张裸照和20多段视频,敲诈钱财近3万元;
十、最后一类情况则相对感性,更依赖于网友自己判断,电脑是不是变得有些慢、上网是不是突然“龟速”、任务管理器中是不是多了些自己不认识的进程,这些也都是木马病毒在从事“地下”工作的症状。
360安全专家建议,打补丁补漏洞、从正规可信渠道下载文件、定期使用安全软件进行扫描是远离木马病毒最好的方法。保持自己电脑健康,一方面是保护自己的财产和隐私安全,同时也相当于为整体互联网安全作了贡献。
篇三:电脑常见进程及相关木马病毒
【 电脑常见进程及相关木马病毒】
1、【wscntfy.exe】:Microsoft Windows Security Center---Windows 安全警报
2、【Taskmgr.exe】:Windows增强型任务管理器(若超过一个,则是病毒)
3、【alg.exe】:Application Layer Gateway Service----alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。(也可能是病毒)
4、【notepad.exe】:记事本(也可能是病毒,notepad.exe可能是一种变种木马,与qq有关)
5、【SogouCloud.exe】:搜狗云计算;可能会影响网速。关闭方式:搜狗拼音新添加的“云计算”进程,负责输出每次打字时的云计算候选项(在候选栏的第二位)。不喜欢搜狗输入法打字时的云计算欢的话可以自己关掉。选项在“设置属性”对话框的“高级”选项卡中(智能输入 栏--开启云计算候选),勾掉云计算即可了。 sogoucloud.exe的真伪辨别:(1). 搜狗拼音输入法确实有SogouCloud.exe文件,是搜狗输入法云计算代理程序。不过应该是在搜狗输入法的安装目录下。不是该路径时应该是伪装的文件。(2). 正版的SogouCloud.exe有搜狗公司的数字签名,可以看看你的文件并没有签名。()
6、【popwndexe.exe】:瑞星广告弹框程序。没啥用。建议禁止。
7、【scardsvr.exe】: Microsoft Smartcard-Ressource server---微软Windows操作系统的一部分,用于认证你本地系统的简单安全卡,建议保留。
8、【SGImeGuard.exe】:搜狗输入法的一个进程,作用不大,删除也不影响你正常使用搜狗输入法。
9、【svchost.exe】:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。svchost.exe是nt核心系统的非常重要的进程。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。到了Windows Vista 系统时svchost 进程多达12个,Win7则更多.
10、【RsMgrSvc.exe】:瑞星软件部署系统。卸载瑞星(rising)时留下的。
11、【ibmpmsvc.exe】:联想电脑电池管理器。
12、【lsass.exe】:lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。(也可能是盗号木马病毒。)
13、【services.exe】:services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。(也能是病毒,services.exe是MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。)
14、【winlogon.exe】:Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。
15、【smss.exe】:Session Manager Subsystem:该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面 .由于Smss.exe[1]所有基于Win NT的系统都存在此进程,所以有众多病毒都盯上了这个进程,这些木马病毒有些采用完全相同的名称来迷惑用户。QQ尾巴,Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动,并将病毒模块regsvr.dll,cn_spi.dll注入进程运行。
16、【csrss.exe】:csrss.exe,系统进程,是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要,但也有可能是W32.Netsky.AB@mm等病毒创建的。
17、【FLService.exe】:加速人生程序组件。
18、【spoolsv.exe】:spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。(若其CPU占用率很高的话,很可能是中了木马病毒。)
19、【kxescore.exe】:这个是金山毒霸的密保用户的进程。
20、【ctfmon.exe】:ctfmon.exe是Microsoft Office产品套装的一部分,是有关输入法的一个可执行程序。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。另外,ctfmon.exe可能被感染上木马而成为病毒程序。(也可能是蠕虫病毒。)
21、【conime.exe】:conime.exe是输入法编辑器相关程序。允许用户使用标准键盘就能输入复杂的字符与符号,需要注意它同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。若程序不在:system32
里面,可以删除。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有