怎么查看电脑是否中木马病毒（查看是否有木马病毒）-黑客技术群

本文导读目录：

1、如何才能知道电脑有没有中“木马病毒”？

2、如何知道自己的电脑上有没有木马病毒？

3、怎么查看电脑是不是中病毒了？

4、如何用最简单的方法检查计算机是否中了木马病毒?

5、如何查看自己电脑是否中木马？

6、如何才能知道自己的电脑上有没有中了木马？

7、怎样才能知道电脑中了木马病毒`怎么解决？

如何才能知道电脑有没有中“木马病毒”？

木马程序会隐藏自己.

主要途径有：

a,在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。

b,在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端

c,“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都

是“木马”藏身的好地方。下面具体谈谈 “木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现

后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如 “AOL Trojan木马”，它把自身伪装成

command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，那么

后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查

看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery

v1.0木马”，它将注册表“HKEY－LOCAL－ MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”

，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－

USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY－ USERS＊＊＊＊SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就

是在 “HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进

行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=” 和 “load=”；编辑system.ini文件，将[BOOT]下面的

“shell=‘木马’文件”，更改为：“shell= explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－

MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木

马”程序并不是直接将“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马” 如：BladeRunner“木

马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此 “木马”文件并删除掉。重新启动计算机，然

后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了

如何知道自己的电脑上有没有木马病毒？

1、点击“开始”——“运行”，输入"CMD"，并按确认，到命令行方式下。

2、在命令行提示符下，输入“NETSTAT

—ano”，这时你检查一下有没有什么可疑的连接，如果有，记下PID，然后回WINDOWS下去打开任务管理器，查看“进程”，如果进程那儿没有显示PID，就点击“查看”——“选择列”，选中PID就能根据你在DOS下查到的PID来看看究竟是什么进程一直连接着你的电脑。

3、如果该进程不是系统进程，应该上网查一下进程来源，看是否是危险进程．

怎么查看电脑是不是中病毒了？

或许长了点。

病毒与软、硬件故障的区别和联系

电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。

症状病毒的入侵的可能性软、硬件故障的可能性

经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制，因查看的是整个网络盘的大小，其实"私人盘"上容量已用完了。

软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

键盘或鼠标无端地锁死：病毒作怪，特别要留意"木马"；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

病毒的分类及各自的特征

要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！

病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

如按传染对象来分，病毒可以划分为以下几类：

a、引导型病毒

这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件都能查杀这类病毒，如KV300、KILL系列等。

b、文件型病毒

早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件，这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件，因为这些文件通常是某程序的配置、链接文件，所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中，如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中，感染后通常文件的字节数并不见增加，这就是它的隐蔽性的一面。

c、网络型病毒

这种病毒是近几来网络的高速发展的产物，感染的对象不再局限于单一的模式和单一的可执行文件，而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染，如WORD、EXCEL、电子邮件等。其攻击方式也有转变，从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息（如黑客程序）等，传播的途经也发生了质的飞跃，不再局限磁盘，而是通过更加隐蔽的网络进行，如电子邮件、电子广告等。

d、复合型病毒

把它归为"复合型病毒"，是因为它们同时具备了"引导型"和"文件型"病毒的某些特点，它们即可以感染磁盘的引导扇区文件，也可以感染某此可执行文件，如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导扇区文件和可执行文件的感染，所以这类病毒查杀难度极大，所用的杀毒软件要同时具备查杀两类病毒的功能。

以上是按照病毒感染的对象来分，如果按病毒的破坏程度来分，我们又可以将病毒划分为以下几种：

a、良性病毒：

这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样，只是想窃取你电脑中的一些通讯信息，如密码、IP地址等，以备有需要时用。

b、恶性病毒

我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为"恶性病毒"，这类病毒入侵后系统除了不能正常使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分文件后即可恢复，当然还是要杀掉这些病毒之后重装系统。

c、极恶性病毒

这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。

d、灾难性病毒

这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如果一旦染上这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和数据备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这"万一"。我所在的雀巢就是这样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因为它不仅对软件造成破坏，更直接对硬盘、主板的BIOS等硬件造成破坏。

如按其入侵的方式来分为以下几种：

a、源代码嵌入攻击型

从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。

b、代码取代攻击型

这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。

c、系统修改型

这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。

d、外壳附加型

这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。

有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒，要知道这些我们可以按以下几个方法来判断。

1、反病毒软件的扫描法

这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸等。至于这些反病毒软件的使用在此就不必说叙了，我相信大家都有这个水平！

2、观察法

这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：

a、内存观察

这一方法一般用在DOS下发现的病毒，我们可用DOS下的"mem/c/p"命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用"mem/c/p"发现不了它，但可以看到总的基本内存640K之中少了那么区区1k或几K。

b、注册表观察法

这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

等等，具体可参考我的另一篇文章--《通通透透看木马》，在其中对注册表中可能出现的地方会有一个比较详尽的分析。

c、系统配置文件观察法

这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个"shell="项，而在wini.ini文件中有"load= "、"run= "项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。具体也可参考我的《通通透透看木马》一文。

d、特征字符串观察法

这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入"CIH"这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。

e、硬盘空间观察法

有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件（这方法应不需要我来说吧？），相信这个庞然大物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可，这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例，明明只安装了几个常用程序，为什么在C盘之中几个G的硬盘空间显示就没有了，经过上述方法一般能很快地让病毒显形的。

参考资料：电脑故障维修大全

怎么查看电脑是否中木马病毒

如何用最简单的方法检查计算机是否中了木马病毒?

严格来讲，木马和病毒是两种概念。木马是一种载体，最终的目的是把宿主程序（一般是后门程序和病毒程序）植入目标计算机。

所以你的问题的答案应该是这样的：

对于木马程序，首先应该查看系统进程（使用windows2000/xp的任务管理器或者第三方软件）中有没有异常活动的进程，如果有，仔细检查该进程的来源。

再用工具查看windows的启动项，用winxp下的msconfig或者其他工具都可以。一般木马的入口都在这里，把可疑的启动项禁止，再次启动以确认。

使用netstat程序或者其他工具查看本机的端口开放情况，对于无法确认的开放端口，察看其监听程序是否为合法软件。

最后，可以用专用工具来查杀，比如木马防线，木马克星等工具，防病毒软件在这方面的功能比较弱，但也有一定的功效。

如何查看自己电脑是否中木马？

用杀毒软件查看以及没有软件使用doc命令怎样查看

首先打开开始=》运行=》输入“cmd”然后回车

具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local

aDDRess(本地连接地址)、foreign

address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机

的目的。　

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了

特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net

start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net

user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个

系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net

user用户名/del”来删掉这个用户吧!

如何才能知道自己的电脑上有没有中了木马？