A. 怎样检测电脑病毒
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:\winnt\system32\explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。像以前的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问一些安全厂商的网站,杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;drivers\etc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、着名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32\drivers\etc\hosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
B. 怎样知道自己电脑所在网络是不是被病毒攻击了
电脑是否中病毒检查顺序 (网络转载复制)
一、进程
首先排查的就是进程了,方法简单,开机后,什么都不要启动!
第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者网络一下。
PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!
第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
二、自启动项目
进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
PS:这个需要有一定的经验。
三、网络连接
ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到http://www.ip138.com/查询,对应的进程和端口等信息可以到Google或网络查询。
如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。
四、安全模式
重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除!
五、映像劫持
打开注册表编辑器,定位到HKEY_LOCAL_,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。
六、CPU时间
如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:
打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了SystemIdleProcess和SYSTEM以外,CPU时间较大的进程,这个进程需要一起一定的警惕。
目前这些办法足以应付常见的病毒和木马了。
C. 局域网内出现病毒后,如何检查是哪些电脑的病毒对别的电脑进行攻击
1.查看系统日志
2.netstat -an 查看当前所有连接(包括协议、ip、端口)。如果你与那个ip的主机没有共享之类的连接,而它确连上你了……
3.亡羊补牢。安装防火墙。他能监控所有连接,包括正常和非法的。
有些攻击的主机也是被动的,它中的毒会自动攻击……
D. 如何查看局域网电脑病毒
1.通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;
2.另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。
方法一:在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。
方法二:借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。
E. 1、请说出如何设置计算机上网及排除网络故障步骤 2、请说出计算机病毒的特征及如何防治计算机病毒。
一、网络故障排除:
1、先查看他人是否可以上网,来判断是否整个网络出现了问题。如其它人也不能上网的话,就检查Hub、交换机、或傻瓜式的小路由器是否正常工作。主要是观察它们的指示灯是否亮。这些设备都没有问题的时候,再查看一下你的“猫”是否正常工作。
2、当只有你一个人不能上网的时候,右键单击“网上邻居”查看“本地连接”是否连接正常。如出现一把叉的话就是可以判断是网络没有接好。这时候检查RJ-45接口(网卡接口)是否有松动,再次重新插一次。如还不行,则检查本机与HUB或交换机的网络接口是否松动。
3、如果在上面的步骤中看不到“本地连接”,则右键打开“我的电脑”-->“管理”-->“设备管理器”,查看是否存在“网络适配器”,如没有的话,可判断是你的网卡坏了、接触不良或网卡被氧化。解决办法:将网卡取下来,用橡皮擦一下,再重新插入,重复前面所述检查方法,如还不行,则更换新网卡。
4、打开“运行”-->CMD,在CMD窗口中输入"ping 本机IP地址“,如不通则网卡出现问题,很可以是网卡驱动没有安装。
5、继续在CMD窗口中输入”ping 其它主机IP地址“不能通则是你的IP地址设置有问题,重新设置IP地址。解决方法:右键”网上邻居“-->属性,双击“本地连接”-->“属性”-->"Internet协议(TCP/IP)“-->"属性“即可配置IP地址、网关、DNS服务器。
6、一定要确保你的IP地址与他人的IP地址不同,否则出现IP地址冲突,但网关要相同,DNS服务器相同。
以上是我在工作中碰到的一些处理网络故障的解决思路及解决办法,找对了方法,我想你也就成功了一半。然后在查找问题的过程中再注意一些小小细节,我想当你看了这篇文章之后,出现网络故障你就不会惊慌啦。好好解决吧,3分钟搞掂!!呵呵!
二、计算机病毒及防治
计算机病毒成为了关注的焦点,它造成硬件损坏、数据丢失,或不能正常使用等。这此,特将计算机病毒及其防治方法简介于下:
1 定义
计算机病毒是专门编制的对计算机软、硬件具有破坏性的程序。
2 分类
计算机病毒分类方法很多,笔者根据病毒传播方式,将计算机病毒分为:
网络传播和非网络传播的两大类。
3 特点
通常认为,计算机病毒的特点有五个,即,破坏性、隐蔽性、传染性、潜伏性和激发性。
随着病毒的新品种不断出现,以及防治技术日益改进,病毒的特点也有所改变。例如:
破坏性:破坏的范围,与以往相比,扩大了很多。一方面,能破坏文件种类增加,如,纯文本文件、网页文件、压缩的图像文件(JPG)等;另一方面,以前只破坏软件,自CIH病毒开始,能够破坏硬件,轻则损坏硬盘;重则损坏主板(BIOS),
隐蔽性(寄生性):以前病毒只隐藏(寄生)在可执行文件(程序)或能够嵌入指令的(Word)文件中,眼下,病毒可以寄生在电子邮件中。
激发性:通过网络传播的病毒,极易激发。如,带病毒的电子邮件,只需预览(不必打开),即可激发所带病毒发作。
4 防治方法
简言之,病毒防治的关键是:把好入口关。
防治工具--杀毒软件(病毒卡及其防火墙)。
4.1 网络传播病毒
一般说来,只有上网的微机才会感染此类病毒。
由于网络传播速度快,新病毒出现后,杀毒软件往往不能及时升级,因此,防治网络传播病毒的最佳方法是:不预览邮件,遇到可疑邮件立即删除。使用Outlook Express收发邮件的用户,还应该在"选项"对话框上,选中《退出时清空"已删除邮件"文件夹中的邮件》。
据笔者的观察,至今没有一种杀毒软件能有效防治(及时发现和清除)此类病毒。
4.2 非网络传播病毒
一般说来,非网络传播病毒通过软盘和光盘传播,防治方法是:
1、安装病毒防火墙,并定期检查。
2、使用外来软盘或光盘中的数据(软件)前,应该先检查,确认无病毒后,再使用。
4.3 特别提示
1、没有一种杀毒软件是万能的。例如,目前有很多微机上带有Polyboot-b*病毒,是因为某些杀毒软件不能发现它,或发现后无法清除它。因此,定期使用另一种杀毒软件,查毒、杀毒,可提高防治效果。
Polyboot-b*病毒,是一种引导区病毒。感染该病毒的软盘,极易损坏。感染到硬盘后,能干扰正常工作。
2、杀毒软件编制,有赖于采集到的病毒样本。因此,对新病毒均有滞后性。
3、病毒卡一定要及时、定期升级。
4、由于数据交换频繁,感染病毒的可能性始终存在,因此,重要数据一定要备份,如,存入软盘或刻入光盘。
三、1、防火墙 2、屏幕取词 3、开机速度优化 4、播放列表 5、ftp
F. 在局域网中,有什么软件能检测到哪台PC中了病毒
如果在局域网中部署了网络版的杀毒软件,那么在服务端可以查看到安装有杀毒软件的各客户端的查杀情况。这几乎是唯一一种可以详细了解局域网中各电脑中毒情况的方法。
对于局域网中的ARP病毒,在掌握网络中各电脑的MAC地址和ip地址的前提下,可以利用局域网ARP欺骗检测工具来确定ARP攻击源(如360,聚生网管等),然后利用ARP专杀工具进行杀毒。