个人电脑中木马或病毒简易自查

《个人电脑中木马或病毒简易自查》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、PC机中木马或病毒简易自查一．CMD命令查看可疑账号netuser如果出现类似下图中hacker账号，不是自己建立的、可疑的账号，基本肯定中木马了。如果没有可疑账号，但是guest账号无缘无故开启了，查看下guest账号的属性，看下是不是被提升到了administrator权限.命令netuserguest上图中accountactive是no，就是说明guest账号现在没有开启，安全。如果出现：Accountactive是yes，而且最后第三行LocalgroupMemberships中有administrators，就说明现在你的机器的

2、来宾账号被人家恶意提权到了管理员权限，“非常危险“。装杀软，查毒。不放心的可以重装system。一．查看可疑进程。怎么看？简单，就一个个看，一般很弱智的木马或病毒会伪装成非常容易识别的样子，比如1.exe、（一看就是木马）2.exe、（一看就是木马）winLogom.exe、（windows正常的应该是winlogon.exe）exploier.exe(windows正常的是explorer.exe)等等。因为很少有人没事会去看进程，像我这种每天检查进程的比较少。。如果觉得吃不准，可以看这个进程旁边的用户名，没有用户名的比较危险，多看看。如

3、果看到2个很像的，可以试试关掉一个，一般系统进程如果你关掉，它自己会再启动。病毒或木马并不会。查出可疑进程，95%中招了。装杀软，查杀！！！，推荐一键ghost恢复system.一．查看可疑系统服务按住键盘win键+R键，调出运行，输入命令services.msc我是英文系统，抱歉。。。查看几个重点服务（1）。Telnet服务原因：telnet服务win7系统默认是关闭的，没有开启，如果看到telnet服务是自动开启状态，中招了。中的很大招。telnet服务很危险很危险。解决：先右键停止服务，改成禁用状态，打开控制面板—》程序与功能（就是删

4、除软件的那个）—》左边有个”打开或关闭windows功能“确保“telnet服务“和”telnet客户端”2个前面勾被去掉，然后确定，等待windows完成配置。（2）。打印机服务中文系统名字：打印机服务原因：如果你的PC机根本没有连接打印机，而这个服务或者长的像这个服务的服务是”自动开启“状态，恭喜你，你又中招了，而且是大招。解决：右键停止服务，改成禁用状态。装杀软，查杀。我以前做的木马基本是模仿打印机服务，因为太像了，有时候自己都分辨不出。（3）。模仿支付宝的服务不确定是不是真的支付宝服务，双击服务，看程序路径：如果程序的路径不是你安装

5、支付宝的路径，恭喜你，中招了。速度用其他电脑或手机修改支付宝密码，你懂的。（4）。其他服务名字明显很挫，大小写字母混杂的（windows自己的服务都是首字母大写，其他小写），或者名字没什么破绽，但是旁边服务描述写的简单的一塌糊涂或者没有描述的，基本就是木马或病毒。解决：右键停止服务，改成禁用状态。装杀软，查杀。一．cmd查看可疑端口命令：netstat–an常见危险端口说明：21（FTP服务）80（网页http访问端口）135（RPC远程过程调用服务）443（网页https访问端口）445（共享文件夹、共享打印机服务）3389（远程桌面服务

6、）上图中我的几个常见危险端口虽然都开着，而且状态是LISTENING监听状态，但是对应的外部地址是没有的，就是说明没有危险的东西通过这些端口连接着外界。对比没有联网和联网状态下的2次命令执行后的图，对比下有哪个端口是联网后就自动进入监听状态的。常见的木马用的比较多的端口99、9999、20000、40000、99999、8000（大名鼎鼎灰鸽子木马用的端口）、8001（灰鸽子爱好者用，包括我）、7626（国产第一代木马“冰河“的端口）。见到类似端口是监听状态，别犹豫了，马上断网，更新病毒库，查杀。或者一键ghost。不要到处流传！PS：推荐

7、安装免费的Comodo科摩多-防火墙，傻瓜式配置，功能强得一塌糊涂。