怎么樣檢測(cè)電腦病毒最好

時(shí)間：2016-06-04 18:19:27 林輝766由分享

怎么樣檢測(cè)電腦病毒最好

　　要想檢測(cè)下電腦有沒(méi)有中病毒!用什么方法好呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的檢測(cè)電腦病毒方法介紹!希望對(duì)你有幫助!

　　檢測(cè)電腦病毒方法一：

　　你重新做系統(tǒng)只是把你的C盤(pán)還原了，但是你的其他盤(pán)仍然會(huì)有病毒，你按我說(shuō)的辦法來(lái)殺毒吧

　　1，重啟按F8進(jìn)入聯(lián)網(wǎng)安全模式按我說(shuō)的來(lái)殺毒。

　　2，建議您現(xiàn)在立刻下載騰訊電腦管家“8.3”最新版，對(duì)電腦首先進(jìn)行一個(gè)體檢，打開(kāi)所有防火墻避免系統(tǒng)其余文件被感染。

　　3，打開(kāi)殺毒頁(yè)面開(kāi)始查殺，切記要打開(kāi)小紅傘引擎。

　　4，如果普通查殺不能解決問(wèn)題，您可以打開(kāi)騰訊電腦管家---工具箱---頑固木馬專殺- 進(jìn)行深度掃描。

　　5，查殺處理完所有病毒后，立刻重啟電腦，再進(jìn)行一次安全體檢，清除多余系統(tǒng)緩存文件，避免二次感染。

　　檢測(cè)電腦病毒方法二：

　　1、運(yùn)行變慢;

　　2、有不明的進(jìn)程(alt+ctrl+del可查看) ;

　　3、文件夾中多了未知文件;

　　4、原有文件不能用或是被更改。

　　檢測(cè)電腦病毒方法三：

　　第一、全面檢測(cè)計(jì)算機(jī)

　　對(duì)于新手，手動(dòng)全面檢測(cè)計(jì)算機(jī)是非常困難的，因?yàn)樾枰蜷_(kāi)注冊(cè)表，一項(xiàng)一項(xiàng)去檢查，那我們就使用簡(jiǎn)單的方法——運(yùn)用SRE這個(gè)軟件，SRE全名System Repair Engineer。打開(kāi)軟件后，點(diǎn)擊軟件左邊的智能掃描，再點(diǎn)擊“掃描”，就可以對(duì)計(jì)算機(jī)進(jìn)行較為全面的掃描了。

　　對(duì)于不想自己分析的新手，請(qǐng)把日志貼到論壇上，會(huì)有人幫你解決。

　　第二、分析掃描日志

　　這個(gè)是最關(guān)鍵的一步，對(duì)于很多新手，選擇來(lái)論壇發(fā)布日志，讓有經(jīng)驗(yàn)的高手來(lái)分析，這樣省時(shí)省力，但是如果大家學(xué)會(huì)分析日志，那么就可以有更多的人幫助新來(lái)的人，減少版主和論壇高人的勞動(dòng)。

　　分析日志學(xué)習(xí)起來(lái)很難，因?yàn)樾枰粩喾e累經(jīng)驗(yàn)，在這里只介紹簡(jiǎn)單的方法(若有更好的方法，希望論壇或者郵件進(jìn)行討論)。

　　1、了解日志

　　SRE日志分別掃描了注冊(cè)表啟動(dòng)項(xiàng)、啟動(dòng)文件夾、服務(wù)、驅(qū)動(dòng)、瀏覽器加載項(xiàng)、進(jìn)程、文件關(guān)聯(lián)、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我會(huì)重點(diǎn)介紹一些檢測(cè)時(shí)常用的項(xiàng)目

　　2、看進(jìn)程

　　看進(jìn)程，看什么呢?看的就是，是否有除系統(tǒng)基本進(jìn)程和軟件產(chǎn)生進(jìn)程外的其他進(jìn)程，尤其注意進(jìn)程路徑是c:windows和C:windowssystem32下的文件，可能有些新手不知道那些是系統(tǒng)基本進(jìn)程，那些是軟件安裝的進(jìn)程，這就是需要經(jīng)驗(yàn)積累的地方。

　　對(duì)于系統(tǒng)進(jìn)程加載的DLL，這個(gè)需要具體分析，很多盜號(hào)木馬運(yùn)用了這個(gè)方式，那就要經(jīng)過(guò)下面三步去完善。

　　3、看啟動(dòng)項(xiàng)(包括注冊(cè)表啟動(dòng)項(xiàng)、啟動(dòng)文件夾、服務(wù)、驅(qū)動(dòng))

　　看了進(jìn)程以后，對(duì)那些是可疑文件有了一定了解后，就可以來(lái)看啟動(dòng)項(xiàng)目。SRE這個(gè)日志非常適合新手使用，因?yàn)樗呀?jīng)在服務(wù)和驅(qū)動(dòng)這兩個(gè)地方把微軟簽名的啟動(dòng)項(xiàng)隱藏，對(duì)于服務(wù)，驅(qū)動(dòng)需要經(jīng)驗(yàn)才能動(dòng)，下面我一項(xiàng)一項(xiàng)的介紹。

　　4、對(duì)比

　　對(duì)比所有可疑啟動(dòng)項(xiàng)目和所有可疑進(jìn)程，是否可以一一對(duì)應(yīng)，如果不可以，那么就要看是哪里出現(xiàn)的問(wèn)題，就對(duì)那里進(jìn)行進(jìn)一步的研究?？纯词欠袷且?yàn)椴《镜倪\(yùn)行方式或者保護(hù)方式問(wèn)題，或者有其他病毒的存在。當(dāng)然，原因不只這一些，還是需要大家積累經(jīng)驗(yàn)。實(shí)踐是根本。

　　5、看其余項(xiàng)目

　　第一個(gè)要看的就是autorun.inf這個(gè)項(xiàng)目，如果某個(gè)盤(pán)有此文件，或者每個(gè)盤(pán)都有，那么就說(shuō)明你的計(jì)算機(jī)中了病毒，處理方法很多，這里介紹幾種。當(dāng)然處理的時(shí)候，要保證系統(tǒng)中沒(méi)有病毒運(yùn)行了。

　　第一種：利用WinRAR。具體方法：打開(kāi)所感染的硬盤(pán)，刪除對(duì)應(yīng)文件。說(shuō)明不會(huì)感染計(jì)算機(jī)，方便實(shí)用。

　　第二種：利用資源管理器。具體方法：在打開(kāi)顯示隱藏文件和系統(tǒng)文件的前提下，利用資源管理器，在資源管理器左面選擇感染的盤(pán)符，右面刪除對(duì)應(yīng)文件。說(shuō)明對(duì)于某些病毒又感染的危險(xiǎn)。

　　第三種：利用命令提示符。具體方法利用了DOS命令，具體命令如下：

　　Attrib –s –h –r –a X:autorun.inf

　　Attrib –s –h –r –a X:對(duì)應(yīng)啟動(dòng)文件(EXE或者PIF)

　　Del X:autorun.inf

　　Del X: 對(duì)應(yīng)啟動(dòng)文件(EXE或者PIF)

　　其中X代表感染的盤(pán)符。

　　說(shuō)明可以刪除徹底，需要懂一些DOS命令和CMD的使用方法。

　　第四種：利用冰刃。具體方法打開(kāi)冰刃后，點(diǎn)擊下面的文件，后面的處理如同資源管理器。說(shuō)明刪除徹底，建議新手使用。

　　第二個(gè)要看的就是HOSTS文件，這里的看法是按照行，日志前面寫(xiě)的是網(wǎng)址對(duì)應(yīng)的DNS解析的IP地址，如果所有IP地址都是同一個(gè)，或者和其他計(jì)算機(jī)解析的IP地址不同，那么就有問(wèn)題，最主要的還是同一個(gè)或者同為127.0.0.1。處理方法很簡(jiǎn)單，利用記事本打開(kāi)Host這個(gè)文件，路經(jīng)在C:WINDOWSsystem32driversetc，這個(gè)處理最好是在病毒刪除以后。

　　第三、處理所有可疑文件(清除病毒文件)

　　這個(gè)是最關(guān)鍵的一步，這一步就要?jiǎng)h除病毒了，看到論壇以前有人光用SRE這類日志掃描程序刪除，就非常氣憤，因?yàn)檫@個(gè)程序無(wú)法完全解決問(wèn)題。現(xiàn)在先來(lái)說(shuō)明一下原因，第一，若病毒運(yùn)行，病毒會(huì)不時(shí)的自動(dòng)檢測(cè)啟動(dòng)項(xiàng)是否被修改，你用SRE刪除以后，病毒會(huì)立刻檢測(cè)到，自動(dòng)添加，當(dāng)重新啟動(dòng)的時(shí)候就會(huì)重新回來(lái)，解決方法倒是有一個(gè)，這個(gè)可以在安全模式下進(jìn)行，但是有部分病毒在安全模式下照樣會(huì)運(yùn)行，下一點(diǎn)就說(shuō)明了這個(gè)。第二，有很多病毒選擇了Winlogon啟動(dòng)或者初始化動(dòng)態(tài)鏈接庫(kù)啟動(dòng)再或者驅(qū)動(dòng)啟動(dòng)，這三類啟動(dòng)有一個(gè)共同特點(diǎn)，就是病毒在安全模式下也會(huì)運(yùn)行，那么SRE對(duì)其根本沒(méi)有效果。那我們?cè)趺催M(jìn)行處理呢，最可靠的方法還是使用冰刃(IceSword)。

　　當(dāng)然也有一點(diǎn)冰刃不是全能的，現(xiàn)在有病毒以進(jìn)程來(lái)結(jié)束冰刃，以后會(huì)怎么樣，《黑客防線》曾經(jīng)有一篇文章就是專門(mén)介紹冰刃的漏洞，利用這個(gè)漏洞，病毒可以結(jié)束掉冰刃。

　　廢話就說(shuō)以上這么多，看看具體處理方法吧。冰刃在殺毒的時(shí)候需要做一個(gè)預(yù)處理，點(diǎn)擊上方文件下的設(shè)置，選中禁止線程創(chuàng)建。然后就可以做下面的處理了

　　刪除方法：

　　第一種情況，有確實(shí)的EXE進(jìn)程。打開(kāi)冰刃后，點(diǎn)擊進(jìn)程，結(jié)束此可疑進(jìn)程，這樣此進(jìn)程不會(huì)創(chuàng)建，按照上面對(duì)比后的結(jié)果，如果是注冊(cè)表中的，在冰刃下面可以看到注冊(cè)表，直接進(jìn)行修改，注意一點(diǎn)就是<>項(xiàng)目需要雙擊打開(kāi)編輯框清空，其它的直接找到對(duì)應(yīng)鍵值刪除即可;如果是服務(wù)啟動(dòng)，在冰刃下進(jìn)入服務(wù)，找到啟動(dòng)服務(wù)，點(diǎn)右鍵，改為已禁用即可;如果是驅(qū)動(dòng)啟動(dòng)，可以打開(kāi)注冊(cè)表進(jìn)入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices找到對(duì)應(yīng)的刪除即可，也可以使用SRE進(jìn)行刪除。最后運(yùn)用冰刃強(qiáng)制刪除文件后殺毒結(jié)束。

　　第二種情況，無(wú)確定的EXE進(jìn)程，現(xiàn)在很多木馬喜歡用DLL潛入方式，比如江湖木馬，征途木馬，這些木馬對(duì)應(yīng)的啟動(dòng)項(xiàng)目是一個(gè)EXE文件，而最終起作用的是一個(gè)潛入進(jìn)程的DLL，找此DLL的方法也是有經(jīng)驗(yàn)的。此病毒刪除方法就是先處理EXE文件，打開(kāi)冰刃，進(jìn)入對(duì)應(yīng)啟動(dòng)項(xiàng)，按照第一種情況所說(shuō)方法先刪除啟動(dòng)項(xiàng)。然后強(qiáng)制刪除對(duì)應(yīng)文件，最后強(qiáng)制刪除DLL文件重新啟動(dòng)后即可完成殺毒，如果找不到對(duì)應(yīng)的DLL，不刪除也可以，此DLL會(huì)成為系統(tǒng)垃圾，放在它該存在的位置，而不在產(chǎn)生作用。

　　第三種情況，也是最難處理的一種情況，現(xiàn)象就是殺毒軟件報(bào)告病毒，但是無(wú)法從日志中找到任何病毒蹤跡，這里要先啟動(dòng)冰刃，在進(jìn)程、內(nèi)核程序、啟動(dòng)組和服務(wù)中進(jìn)行一次徹底查找(后面對(duì)次問(wèn)題有解釋)，如果還是沒(méi)有，就屬于這種情況。此情況刪除及其復(fù)雜?？梢杂帽袕?qiáng)制刪除對(duì)應(yīng)文件(若殺毒軟件以成功刪除就不用做這一步)，并且打開(kāi)我的電腦，找到對(duì)應(yīng)位置，建立一個(gè)同名的文件夾(包括擴(kuò)展名)，這樣病毒將不會(huì)再產(chǎn)生，然后運(yùn)用Filemon這個(gè)文件監(jiān)控軟件，進(jìn)行監(jiān)控，在監(jiān)控過(guò)程中，逐一運(yùn)行軟件，看看那個(gè)軟件要?jiǎng)?chuàng)建前面用冰刃或者殺毒軟件刪除的文件，找到后，刪除此軟件里面的所有文件重新安裝，即可。

　　注冊(cè)表啟動(dòng)項(xiàng)

　　在SRE里面，這冊(cè)表啟動(dòng)項(xiàng)包括了Winlogon啟動(dòng)，普通注冊(cè)表啟動(dòng)等等多個(gè)項(xiàng)目。這個(gè)只能看下我在虛擬機(jī)下面剛安裝一版SP2的Windows XP的日志了，當(dāng)然因?yàn)槊恳环N系統(tǒng)(盜版方式不同或者正版等等)不同，可能掃描出來(lái)的不僅相同，剩下的需要大家經(jīng)驗(yàn)積累。

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

　　[(Verified)Microsoft Corporation](啟動(dòng)輸入法)

　　超級(jí)兔子、MSN Messenger等通過(guò)此項(xiàng)目啟動(dòng)

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]

　　<> [N/A]

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

　　<"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微軟輸入法啟動(dòng)項(xiàng))

　　[(Verified)Microsoft Corporation] (微軟輸入法啟動(dòng)項(xiàng))

　　暴風(fēng)影音、NVIDIA顯卡、聲卡、超級(jí)解霸、瑞星殺毒軟件、瑞星個(gè)人防火墻、卡卡上網(wǎng)助手、金山毒霸、江民殺毒軟件、Emule、金山詞霸、Nero、Real系列、酷狗等通過(guò)此項(xiàng)目啟動(dòng)

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]

　　[(Verified)Microsoft Corporation]

　　[(Verified)Microsoft Corporation](Winlogon啟動(dòng)項(xiàng)，逗號(hào)后面若有東西90%是病毒)