怎么樣檢測電腦病毒最好
怎么樣檢測電腦病毒最好
要想檢測下電腦有沒有中病毒!用什么方法好呢?下面由學習啦小編給你做出詳細的檢測電腦病毒方法介紹!希望對你有幫助!
檢測電腦病毒方法一:
你重新做系統(tǒng)只是把你的C盤還原了,但是你的其他盤仍然會有病毒,你按我說的辦法來殺毒吧
1,重啟按F8進入聯網安全模式按我說的來殺毒。
2,建議您現在立刻下載騰訊電腦管家“8.3”最新版,對電腦首先進行一個體檢,打開所有防火墻避免系統(tǒng)其余文件被感染。
3,打開殺毒頁面開始查殺,切記要打開小紅傘引擎。
4,如果普通查殺不能解決問題,您可以打開騰訊電腦管家---工具箱---頑固木馬專殺- 進行深度掃描。
5,查殺處理完所有病毒后,立刻重啟電腦,再進行一次安全體檢,清除多余系統(tǒng)緩存文件,避免二次感染。
檢測電腦病毒方法二:
1、運行變慢;
2、有不明的進程(alt+ctrl+del可查看) ;
3、文件夾中多了未知文件;
4、原有文件不能用或是被更改。
檢測電腦病毒方法三:
第一、全面檢測計算機
對于新手,手動全面檢測計算機是非常困難的,因為需要打開注冊表,一項一項去檢查,那我們就使用簡單的方法——運用SRE這個軟件,SRE全名System Repair Engineer。打開軟件后,點擊軟件左邊的智能掃描,再點擊“掃描”,就可以對計算機進行較為全面的掃描了。
對于不想自己分析的新手,請把日志貼到論壇上,會有人幫你解決。
第二、分析掃描日志
這個是最關鍵的一步,對于很多新手,選擇來論壇發(fā)布日志,讓有經驗的高手來分析,這樣省時省力,但是如果大家學會分析日志,那么就可以有更多的人幫助新來的人,減少版主和論壇高人的勞動。
分析日志學習起來很難,因為需要不斷積累經驗,在這里只介紹簡單的方法(若有更好的方法,希望論壇或者郵件進行討論)。
1、了解日志
SRE日志分別掃描了注冊表啟動項、啟動文件夾、服務、驅動、瀏覽器加載項、進程、文件關聯、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我會重點介紹一些檢測時常用的項目
2、看進程
看進程,看什么呢?看的就是,是否有除系統(tǒng)基本進程和軟件產生進程外的其他進程,尤其注意進程路徑是c:windows和C:windowssystem32下的文件,可能有些新手不知道那些是系統(tǒng)基本進程,那些是軟件安裝的進程,這就是需要經驗積累的地方。
對于系統(tǒng)進程加載的DLL,這個需要具體分析,很多盜號木馬運用了這個方式,那就要經過下面三步去完善。
3、看啟動項(包括注冊表啟動項、啟動文件夾、服務、驅動)
看了進程以后,對那些是可疑文件有了一定了解后,就可以來看啟動項目。SRE這個日志非常適合新手使用,因為它已經在服務和驅動這兩個地方把微軟簽名的啟動項隱藏,對于服務,驅動需要經驗才能動,下面我一項一項的介紹。
4、對比
對比所有可疑啟動項目和所有可疑進程,是否可以一一對應,如果不可以,那么就要看是哪里出現的問題,就對那里進行進一步的研究??纯词欠袷且驗椴《镜倪\行方式或者保護方式問題,或者有其他病毒的存在。當然,原因不只這一些,還是需要大家積累經驗。實踐是根本。
5、看其余項目
第一個要看的就是autorun.inf這個項目,如果某個盤有此文件,或者每個盤都有,那么就說明你的計算機中了病毒,處理方法很多,這里介紹幾種。當然處理的時候,要保證系統(tǒng)中沒有病毒運行了。
第一種:利用WinRAR。具體方法:打開所感染的硬盤,刪除對應文件。說明不會感染計算機,方便實用。
第二種:利用資源管理器。具體方法:在打開顯示隱藏文件和系統(tǒng)文件的前提下,利用資源管理器,在資源管理器左面選擇感染的盤符,右面刪除對應文件。說明對于某些病毒又感染的危險。
第三種:利用命令提示符。具體方法利用了DOS命令,具體命令如下:
Attrib –s –h –r –a X:autorun.inf
Attrib –s –h –r –a X:對應啟動文件(EXE或者PIF)
Del X:autorun.inf
Del X: 對應啟動文件(EXE或者PIF)
其中X代表感染的盤符。
說明可以刪除徹底,需要懂一些DOS命令和CMD的使用方法。
第四種:利用冰刃。具體方法打開冰刃后,點擊下面的文件,后面的處理如同資源管理器。說明刪除徹底,建議新手使用。
第二個要看的就是HOSTS文件,這里的看法是按照行,日志前面寫的是網址對應的DNS解析的IP地址,如果所有IP地址都是同一個,或者和其他計算機解析的IP地址不同,那么就有問題,最主要的還是同一個或者同為127.0.0.1。處理方法很簡單,利用記事本打開Host這個文件,路經在C:WINDOWSsystem32driversetc,這個處理最好是在病毒刪除以后。
第三、處理所有可疑文件(清除病毒文件)
這個是最關鍵的一步,這一步就要刪除病毒了,看到論壇以前有人光用SRE這類日志掃描程序刪除,就非常氣憤,因為這個程序無法完全解決問題。現在先來說明一下原因,第一,若病毒運行,病毒會不時的自動檢測啟動項是否被修改,你用SRE刪除以后,病毒會立刻檢測到,自動添加,當重新啟動的時候就會重新回來,解決方法倒是有一個,這個可以在安全模式下進行,但是有部分病毒在安全模式下照樣會運行,下一點就說明了這個。第二,有很多病毒選擇了Winlogon啟動或者初始化動態(tài)鏈接庫啟動再或者驅動啟動,這三類啟動有一個共同特點,就是病毒在安全模式下也會運行,那么SRE對其根本沒有效果。那我們怎么進行處理呢,最可靠的方法還是使用冰刃(IceSword)。
當然也有一點冰刃不是全能的,現在有病毒以進程來結束冰刃,以后會怎么樣,《黑客防線》曾經有一篇文章就是專門介紹冰刃的漏洞,利用這個漏洞,病毒可以結束掉冰刃。
廢話就說以上這么多,看看具體處理方法吧。冰刃在殺毒的時候需要做一個預處理,點擊上方文件下的設置,選中禁止線程創(chuàng)建。然后就可以做下面的處理了
刪除方法:
第一種情況,有確實的EXE進程。打開冰刃后,點擊進程,結束此可疑進程,這樣此進程不會創(chuàng)建,按照上面對比后的結果,如果是注冊表中的,在冰刃下面可以看到注冊表,直接進行修改,注意一點就是<>項目需要雙擊打開編輯框清空,其它的直接找到對應鍵值刪除即可;如果是服務啟動,在冰刃下進入服務,找到啟動服務,點右鍵,改為已禁用即可;如果是驅動啟動,可以打開注冊表進入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices找到對應的刪除即可,也可以使用SRE進行刪除。最后運用冰刃強制刪除文件后殺毒結束。
第二種情況,無確定的EXE進程,現在很多木馬喜歡用DLL潛入方式,比如江湖木馬,征途木馬,這些木馬對應的啟動項目是一個EXE文件,而最終起作用的是一個潛入進程的DLL,找此DLL的方法也是有經驗的。此病毒刪除方法就是先處理EXE文件,打開冰刃,進入對應啟動項,按照第一種情況所說方法先刪除啟動項。然后強制刪除對應文件,最后強制刪除DLL文件重新啟動后即可完成殺毒,如果找不到對應的DLL,不刪除也可以,此DLL會成為系統(tǒng)垃圾,放在它該存在的位置,而不在產生作用。
第三種情況,也是最難處理的一種情況,現象就是殺毒軟件報告病毒,但是無法從日志中找到任何病毒蹤跡,這里要先啟動冰刃,在進程、內核程序、啟動組和服務中進行一次徹底查找(后面對次問題有解釋),如果還是沒有,就屬于這種情況。此情況刪除及其復雜??梢杂帽袕娭苿h除對應文件(若殺毒軟件以成功刪除就不用做這一步),并且打開我的電腦,找到對應位置,建立一個同名的文件夾(包括擴展名),這樣病毒將不會再產生,然后運用Filemon這個文件監(jiān)控軟件,進行監(jiān)控,在監(jiān)控過程中,逐一運行軟件,看看那個軟件要創(chuàng)建前面用冰刃或者殺毒軟件刪除的文件,找到后,刪除此軟件里面的所有文件重新安裝,即可。
注冊表啟動項
在SRE里面,這冊表啟動項包括了Winlogon啟動,普通注冊表啟動等等多個項目。這個只能看下我在虛擬機下面剛安裝一版SP2的Windows XP的日志了,當然因為每一種系統(tǒng)(盜版方式不同或者正版等等)不同,可能掃描出來的不僅相同,剩下的需要大家經驗積累。
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[(Verified)Microsoft Corporation](啟動輸入法)
超級兔子、MSN Messenger等通過此項目啟動
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
<> [N/A]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微軟輸入法啟動項)
[(Verified)Microsoft Corporation] (微軟輸入法啟動項)
[(Verified)Microsoft Corporation] (微軟輸入法啟動項)
暴風影音、NVIDIA顯卡、聲卡、超級解霸、瑞星殺毒軟件、瑞星個人防火墻、卡卡上網助手、金山毒霸、江民殺毒軟件、Emule、金山詞霸、Nero、Real系列、酷狗等通過此項目啟動
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
[(Verified)Microsoft Corporation]
[(Verified)Microsoft Corporation](Winlogon啟動項,逗號后面若有東西90%是病毒)
[(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]
<> [N/A](初始化動態(tài)鏈接庫,若這里面有東西90%是病毒)
看了“ 怎么樣檢測電腦病毒最好”文章的還看了:
3.怎樣檢測電腦病毒