如何檢查自己的電腦有沒有被黑
以下是OMG小編為大家收集整理的文章,希望對大家有所幫助。
平時使用電腦的時候也許會遇到這樣的情況:計算機(jī)突然死 機(jī),有時又自動重新啟動,無端端的少了些文件,發(fā)現(xiàn)桌面刷新 慢,沒有運(yùn)行什么大的程序,硬盤卻在拼命的讀寫,系統(tǒng)也莫明 其妙地對軟驅(qū)進(jìn)行搜索,殺毒軟件和防火墻報警,發(fā)現(xiàn)系統(tǒng)的速 度越來越慢,這時候你就要小心了。
第一時間反應(yīng)(養(yǎng)成一個好的習(xí)慣往碗可以減少所受的損失):用CTRL+ALT+DEL調(diào)出任務(wù)表,查看有什么程序在運(yùn)行,如發(fā)現(xiàn)陌生的程序就要多加注意,一般來說,凡是在任務(wù)管理器上的程序都不會對系統(tǒng)的基本運(yùn)行照成負(fù)面影響(注意:這里說的是基本運(yùn)行,先和大家說明白,關(guān)于這條我是在網(wǎng)絡(luò)上關(guān)于這個研究的結(jié)果),所以大家可以關(guān)閉一些可疑的程序來看看,發(fā)現(xiàn)一些不正常的情況恢復(fù)了正常,那么就可以初步確定是中了木馬了,發(fā)現(xiàn)有多個名字相同的程序在運(yùn)行,而且可能會隨時間的增加而增多,這也是一種可疑的現(xiàn)象也要特別注意,你這時是在連入Internet網(wǎng)或是局域網(wǎng)后才發(fā)現(xiàn)這些現(xiàn)象的話,不要懷疑,動手查看一下吧!,(注:也有可能是其它一些病毒在作怪)
1先升級殺毒軟件到最新,對系統(tǒng)進(jìn)行全面的檢查掃描。
2點擊工具→文件夾選項→查看把隱藏受保護(hù)的操作系統(tǒng)文件(推薦)和隱藏已知文件類型的擴(kuò)展名這兩項前面的勾去掉,以方便查看。
3查看windows目錄下的win.INI文件中開頭的幾行:[WINDOWS]load=ren=這里放的是啟動Windows自動執(zhí)行的程序,可以看看對比對比一下。
4查看Windows目錄下的SYSTEM.INI文件中的這幾行:[386Enh]device=這里是放置系統(tǒng)本身和外加的驅(qū)動程序。外加的驅(qū)動程序一般都用全路徑,如:device=c:windowssystem32tianyangdemeng.exe(這里只是打個比方)
5查看開始菜單中的「程序」→「啟動」。這里放的也是啟動Windows自動執(zhí)行的程序,如果有的話,它就放在C:WindowsStartMenuPrograms中,將它保存在較安全的地方后再刪除,需要恢復(fù)時在拿出來恢復(fù)即可。
6在「開始」→「運(yùn)行」中輸入"MSCONFIG"查看是否有可疑的啟動項,你也許會問,前面不是說了嗎?其實,這兩種方法是不同的,你分別用這兩個方法查看一下就會發(fā)現(xiàn)不同了,至于要說更深入點,說實在話,我也不知道。呵呵不要笑話,希望高手出來解答一下!
7查看注冊表,在「開始」→「運(yùn)行」中輸入“REGEDIT”。 先對注冊表進(jìn)行備份,才對注冊查看。(一定要養(yǎng)成一個習(xí)慣,在修改木文件時,對自己沒有把握的需要先進(jìn)行備份) 查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run項,看看有沒有可疑的程序。 查看HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND,看看是否有。EXE文件關(guān)聯(lián)的木馬,正確值為"%1"%*查看HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND,看看是否有。INF文件關(guān)聯(lián)的木馬,正確值為"SYSTEMROOT%SYSTEM32NOTEPAD.EXE%1查看HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND,看看是否有。TXT文件關(guān)聯(lián)的木馬,正確值為%SYSTEMROOT%SYSTEM32NOTEPAD.EXE%1啟動CMD,輸入NETSTAT-AN查看有沒有異常的端口。
8Windows中的執(zhí)行文件。exe、。com、。dll……它們都有可能是黑客放置的病毒或是黑客病毒的攜帶者。在系統(tǒng)正常的時候,把以上文件做一個備份,到需要的時候就可以寫回去!
9在Windows目錄下,看看有無一個名為Winstart.bat的文件。這個文件也是與Autoexec.bat類似的一個自動批處理文件,不過,它只能在Windows工作而不能在DOS下使用。仔細(xì)看看有沒有什么你不知道的驅(qū)動程序,把它記錄下來,到百度查一下,一般這個自動批處理文件是不會被用到的。(只能憑經(jīng)驗判斷了)
10查看c:autoexec.bat與c:config.sys,這兩個文件里有一些系統(tǒng)所需的驅(qū)動程序??纯从袥]有什么可疑的驅(qū)動程序。
11右擊「我的電腦」→事件查看器查看安全日志,看看里面有沒有可疑的內(nèi)容。
12在CMD下輸入NETUSER看看有沒有可疑的用戶,出現(xiàn)自己不曾設(shè)立的用戶,馬上用NETUSERABCD/DEL把它刪除(這里的ABCD是用戶名,只要把它改成想要刪除的用戶就行了,也可去下個檢查用戶克隆器查看和其它一切能幫助到你的工具,有些黑客建立的用戶用一般方法是看不見的,大家就要注意了。