下面是小编为大家整理的检查电脑中毒与否的方法(共含7篇),以供大家参考借鉴!同时,但愿您也能像本文投稿人“wzj1”一样,积极向本站投稿分享好文章。
检查电脑中毒与否的方法
1、CPU时间
如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:
内容出自电脑硬件知识网www.hack50.com
检查电脑是否中毒的正确步骤
一、进程
首先排查的就是进程了,方法简单,开机后,什么都不要启动!
第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下,
PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!
第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
二、自启动项目
进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒,
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
PS:这个需要有一定的经验。
三、网络连接
ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到www.ip138.com/查询,对应的进程和端口等信息可以到Google或百度查询。
如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。
四、安全模式
重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除!
五、映像劫持
打开注册表编辑器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。
六、CPU时间
如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:
打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了SystemIdleProcess和SYSTEM以外,CPU时间较大的进程,这个进程需要一起一定的警惕。
目前这些办法足以应付常见的病毒和木马了。
彼岸、花未_
*DNS服务器端检测方法:
本文主要探讨的是BIND服务器,以下实验针对的对象为Solaris10上安装的BIND9服务(Version: 9.2.4),
BIND服务器端检测方式有两种:通过query来辨认异常或是通过查看CACHE的记录来辨认异常。
1)通过query来辨认异常
本功能需要开启BIND的日志审计功能,首先通过rndc命令确认是否已开启日志审计功能:
-bash-3.00# rndc status
number of zones: 6
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF <--这里的OFF代表目前还没开启query日志审计功能
server is up and running
下一步是开启query记录:
-bash-3.00# rndc querylog <--此命令为query记录的开关命令
再查看一下状态^_^
-bash-3.00# rndc status
number of zones: 6
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is ON <--这里的ON代表目前已开启query日志审计功能
server is up and running
来到这一步还需要编辑一下BIND的配置文件named.conf:
-bash-3.00# vi /etc/named.conf
加入以下审计配置内容块:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
logging {
channel audit_log {
file “named.log” versions 3 size 20m;
severity info;
print-time yes;
print-category yes;
};
category default { audit_log; };
category general { audit_log; };
category security { audit_log; };
category config { audit_log; };
category resolver { audit_log; };
category xfer-in { audit_log; };
category xfer-out { audit_log; };
category notify { audit_log; };
category client { audit_log; };
category network { audit_log; };
category update { audit_log; };
category queries { audit_log; };
category lame-servers { audit_log; };
category database { audit_log; };
};
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
*注:其实只需要激活“category queries { audit_log; };”就可以了,不过为了保证日志内容的全面性,所以...
最后重新启动named:
-bash-3.00# /etc/init.d/named restart
现在我们就可以直接通过tail来查看日志了:
-bash-3.00# tail -f /var/named/named.log
其中可能包含很多类似以下的query记录:
Aug 06 02:27:29.364 queries: client 192.168.20.197#13939: query: demonalex.3322.org IN A
Aug 06 02:27:30.406 queries: client 192.168.20.197#13940: query: demonalex.3322.org IN A
Aug 06 02:27:30.994 queries: client 192.168.20.197#13941: query: demonalex.3322.org IN A
Aug 06 02:27:31.529 queries: client 192.168.20.197#13942: query: demonalex.3322.org IN A
Aug 06 02:27:32.043 queries: client 192.168.20.197#13943: query: demonalex.3322.org IN A
Aug 06 02:27:32.554 queries: client 192.168.20.197#13944: query: demonalex.3322.org IN A
Aug 06 02:27:33.034 queries: client 192.168.20.197#13945: query: demonalex.3322.org IN A
Aug 06 02:27:33.511 queries: client 192.168.20.197#13946: query: demonalex.3322.org IN A
Aug 06 02:27:33.972 queries: client 192.168.20.197#13947: query: demonalex.3322.org IN A
Aug 06 02:27:34.436 queries: client 192.168.20.197#13948: query: demonalex.3322.org IN A
若发现大量‘查询内容相同,且源端口连贯(“#”号后为源端口)’的记录,则可能是DNS缓存中毒的先兆,
但此时
不宜太早下定论,再看看下一种检查方法吧:)
2)通过查看CACHE的记录辨认异常
BIND本身不提供直接查看CACHE的功能,但我们可以通过rndc命令把CACHE给DUMP下来。当怀疑BIND服务端存在DNS缓存
中毒时,可以通过以下方式进行检查:
-bash-3.00# rndc dumpdb
-bash-3.00# cat /var/named/named_dump.db
在named_dump.db这个文本文件里包含目前BIND所‘知道’的DNS记录,不过我们主要关注的是客户端查询的记录,如:
=========================================================================
; authanswer
demonalex.3322.org. 54 A 219.137.123.41
=========================================================================
我们可以通过nslookup等命令切换到其它DNS服务器中,对以上相关记录进行查询,确认该BIND是否已被缓存中毒攻击
了。
*DNS客户端检测方法:
客户端检测方法具体需要视操作系统类型而定。若是WINDOWS系统,可以把网卡中的DNS服务器设置为‘怀疑被缓存中
毒攻击’的DNS服务器,然后通过ipconfig检查当前主机的DNS缓存:
ipconfig /displaydns
,或是通过nslookup等命令进行实时检查;若是UNIX/LINUX系统,在默认没有安装nscd服务的情况下是不会具备DNS缓
存功能的,因此只能通过nslookup等命令进行实时检查了。
*参考资料:
candon123所写的《rhel5中配置DNS服务器的日志》,原URL:
candon123.blog.51cto.com/704299/141616
邹福泰所写的《DNS的缓存中毒(cache poison)问题分析及建议》,原URL:
html">hi.baidu.com/zoufutai/blog/item/1b380ffb56ee9f156d22eb0b.html
yfhe所写的《BIND9详解之日志篇》,原URL:
www.chinaunix.net/jh/16/212998.html
我的电脑经常出现死机、运行速度慢等异常情况,使用了多种杀毒软件也不见效,如何判断电脑异常是否是病毒在作怪?
这样的例子并不少见,特别是对于一些初级电脑用户,下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别“真毒”有一定帮助!
电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。
经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多bug);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128m)等,
提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10g硬盘安装了一个win98或winnt4.0系统就说没空间了,一安装软件就提示硬盘空间不够)。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制,因查看的是整个网络盘的大小,其实“私人盘”上容量已用完了。
软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
启动黑屏:病毒感染(记忆最深的是的4.26,我为cih付出了好几千元的代价,那天我第一次开机到了windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;cpu损坏等等
数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其他用户误删除了。
关 键 字:病毒防治
连续两次电脑故障,使我对解决电脑问题的方法有了重新的认识,
电脑蓝屏
上个月,我一亲戚家电脑突然蓝屏,有时侯又突然正常,但是大多数情况是在进入windows登陆界面的时候跳了蓝屏的。根据以往经验,可能是病毒或者系统文件损坏的原因导致这个问题的,于是,我重新Ghost回去了系统,结果令人失望,问题依旧。
这种情况下,我只能怀疑是硬件的问题了,但是哪个硬件的问题呢?我不知道,也没有专门工具检测,毕竟我不是硬件专家呢。所以,只能怀疑,仅仅是怀疑。因为出现蓝屏是在进入windows登陆界面的时候出现的,说明主板、cpu、内存可以正常工作了,现在最值得怀疑的是硬盘的问题了。因为身边没有多余的硬盘了,所以这个无法更换硬盘来检测,需要重新购买一块硬盘。
第二天,我去买了一块硬盘,帮他更换了。这次我以为应该没事了,结果令我震惊,问题依旧!白买了一块硬盘阿!
百般无奈,我把内存拔掉,然后擦了擦,再插上去,再次开机――好了!可以进入windows了!!
原来,问题是内存条太多灰尘或者接触不是很好的缘故。哎!不知道说什么好了。。。是因为问题解决而惊喜,还是因为付出这个时间和金钱代价而惆怅? 转自电脑入门到精通网
电脑死机
上周,我的系统总是时不时就出现死机,令我非常苦恼,这给我工作带来极大的麻烦,时时刻刻都要记得要及时保存,
我一开始以为是装了vs后导致的问题,因为上周我正好装了vs2005。打死我也不会去想到是硬件的问题。
我Ghost回去,这是我极不愿意做的事情,因为我的电脑装了太多的东西,并且有的软件的安装过程是十分麻烦和耗时的。
系统还原了,这是一个干净的windows了。我装了flash,仅仅装了一个flash软件,用以测试效果,因为电脑死机经常都是在编译flash的时候出现的。
结果令我大失所望――问题依旧!硬件问题!我不得不想到这肯定是个硬件问题了。 转自www.58116.cn
这次我不会愚蠢的去买块新硬盘来检测了,我首先把机箱打开,然后吹干净主板上及其他配件上的灰尘,再就是把内存条拔掉擦干净再插上去。 转自www.58116.cn
简单的清理过后,重新开机,再次打开flash软件,运行编译程序――好了!不会死机了!再试了几次,结果都不会出现死机现象。 转自www.58116
电脑无声故障排除方法如下:
(1) 首先检查任务栏右侧有无“小喇叭”,如果有,则声卡正常,故障原因可能是系统声音太小,或设置了静音,或音箱故障所致。可以继续通过耳机检查是否有声音输出,如果有,则是音箱的故障。
(2) 如果任务栏右侧无“小喇叭”,接着单击“控制面板/声音和音频设备”命令,打开“声音和音频设备属性”对话框,并在此对话框中单击“声音”选项卡,然后在“程序事件”栏中单击其中一个程序事件(如程序出错),再选一个声音种类,然后看右边的“预览”按钮是否为黑色。如果为黑色,则声卡正常,故障原因可能是系统音量太小,或设置了静音,或音箱故障。
(3) 如果“声音”选项卡中的“预览”按钮为灰色,接着单击“控制面板/系统属性/硬件/设备管理器”命令,查看“设备管理器”窗口中有无黄色“?”的选项。
(4) 如果有黄色“?”,看选项是否为声卡设备选项(声卡设备选项中通常有“Audio”或“Sound”等关键词)。如果是声卡设备的选项,则表明声卡驱动没有安装,重新安装声卡驱动程序,无声问题即可解决。
(5) 如果有黄色“?”的选项不是指声卡设备,或没有黄色“?”的选项,那么看声音、视频和游戏控制器选项卡下有无黄色“!”的选项。
(6) 如果有黄色“!”,则可能是声卡驱动不匹配,或声卡老化所致。接着删除带“!”选项,重新安装声卡驱动即可。
(7) 如果“设备管理器”窗口中没有声卡选项,且声卡是集成声卡,接着重启电脑,进入BIOS程序。然后检查BIOS中周边设备选项是否设置为“Disabled”,如果是,将其更改为“Enable”即可。如果此项设置我“Enable”,则可能是主板声卡电路损坏,维修声卡电路即可。
(8) 如果声卡不是集成声卡,接着打开机箱,检查声卡是否安装好。如果没有安装好,重新安装后,开机测试即可;如果声卡已经安装好,接着将声卡拆下,然后清理主板声卡插槽及声卡上面的灰尘(特别要检查金手指是否有霉点等),清洁后,再重新安装好,一般故障即可排除,
(9) 如果声卡还不正常,则是声卡有问题,用替换法检查声卡是否损坏或与主板不兼容。如果声卡损坏或与主板不兼容,更换声卡即可。
安装声卡驱动的方法:
(一)右击“我的电脑”/“属性”/“硬件”/“设备管理器”,展开“声音、视频和游戏控制器”,看前面有没有黄色的“?”号,有,说明缺声卡驱动,有“!”号,说明该声卡驱动不能正常使用。
(二)不知道声卡型号,看展开的“声音、视频和游戏控制器”下的那一串字符和数字就是你的声卡型号,也可“开始”/“运行”/输入 dxdiag, 打开“DirectX诊断工具”/声音,从打开的界面中找。
(三)光盘安装,将声卡的驱动光盘放入光驱,右击“声音、视频和游戏控制器”下的?号选项,选“更新驱动程序”,打开“硬件更新向导”,选“是,仅这一次”/“下一步”/“自动安装软件”/“下一步”,系统即自动搜索并安装光盘中的声卡驱动程序,如果该光盘没有适合你用的声卡驱动,再换一张试试,直到完成。
(四)下载驱动软件安装:
1、下载声卡驱动的网站不少,尽可能到综合大型网站主页,把你的声卡型号输入到“搜索”文本框中,按“搜索”按钮,从打开的界面中,选你要下载驱动的网站。
2、在打开的网站中,如果没有显示你要的驱动软件,你可以运用该网站搜索引擎搜索。
3、下载驱动软件要注意:一是品牌型号要对,二是在什么系统上便用,三是要看该驱动软件公布的时间,最新的未必适合使用,可多下载几个,挑着使。
4、下载的驱动软件一般有自动安装功能,打开后,点击即自动安装。不能自动安装的,解压后备用,要记下该软件在磁盘中的具体路径,如D:\ ……\……。右击“我的电脑”/“属性”/“硬件”/“设备管理器”,打开“声音、视频和游戏控制器”,右击“声音、视频和游戏控制器”下的?号声卡选项,选“更新驱动程序”,打开“硬件更新向导”,去掉“搜索可移动媒体”前的勾,勾选“从列表或指定位置安装”/“下一步”,勾选“在搜索中包括这个位置”,在下拉开列表框中填写要使用的声卡驱动文件夹的路径(D:\……\……“下一步”,系统即自动搜索并安装你指定位置中的声卡驱动程序。 在此推荐驱动精灵。
一、进程
首先排查的就是进程了,方法简单,开机后,什么都不要启动!
第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。
PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!
第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
二、自启动项目
进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
PS:这个需要有一定的经验。
三、网络连接
ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到www.ip138.com/查询,对应的进程和端口等信息可以到Google或百度查询。
如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。
四、安全模式
重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除!
五、映像劫持
打开注册表编辑器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。
六、CPU时间
如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:
打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了SystemIdleProcess和SYSTEM以外,CPU时间较大的进程,这个进程需要一起一定的警惕。
目前这些办法足以应付常见的病毒和木马了
总结:如果其中任意一步发现病毒,就不用继续向后判断了。
★ 信任与否
★ 干眼症检查方法
★ 乳腺增生检查方法
