如何查電腦有沒有礦機病毒
『壹』 請問如何查看電腦有沒有病毒
任一款殺毒軟體+windows優化大師+windows清理助手+ewido anti-spyware
的組合,即可檢查電腦是否有病毒。
挖礦都是燒的顯卡,以下方法可以鑒定自己顯卡是不是礦卡
1:通過肉眼來識別這個硬體究竟是不是礦卡 ,其實通過其他方式也可以測出,就比如說你到電腦裡面去測礦卡的超頻性能,去跟官方的數據進行對比,測礦卡供電的穩定性,也可以測出來是不是礦卡。
2:第一點是先看礦卡上面有沒有什麼特別臟特別多的灰塵,各種油漬,如果沒有的話那證明賣家可能做了比較好的處理,或者不是礦卡。如果礦卡非常的臟的話,十有八九就是礦卡,那我們就要進行下一步的操作,就是拆開礦卡。
3:我們應該注意到是否有發票且帶保修,保修基本是在全國各地的保修點都可以保修的,這種才不是礦卡。
(2)如何查電腦有沒有礦機病毒擴展閱讀
如何避免買到礦卡:盡量到淘寶京東的官方旗艦店買新卡,圖便宜買二手顯卡的話就不敢保證了。
如果實在預算有限,一定要購買二手顯卡的話,也要盡量選擇個人購買,切勿相信什麼網吧倒閉,工作室或者公司倒閉,這種渠道大部分買過來的大部分都是礦卡,當然如果那個個人買家手裡也有大量的顯卡賣的話,那也要請謹慎對待,這種大概率也是礦卡。最後,也希望大家可以避免礦卡,買到自己心儀的顯卡,開心游戲。
『叄』 如何查看電腦有沒有中病毒
或許長了點。
病毒與軟、硬體故障的區別和聯系
電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於許可權設置所致。我們只有充分地了解兩者的區別與聯系,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。
症狀 病毒的入侵的可能性 軟、硬體故障的可能性
經常死機:病毒打開了許多文件或佔用了大量內存;不穩定(如內存質量差,硬體超頻性能差等);運行了大容量的軟體佔用了大量的內存和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;運行網路上的軟體時經常死機也許是由於網路速度太慢,所運行的程序太大,或者自己的工作站硬體配置太低。
系統無法啟動:病毒修改了硬碟的引導信息,或刪除了某些啟動文件。如引導型病毒引導文件損壞;硬碟損壞或參數設置不正確;系統文件人為地誤刪除等。
文件打不開:病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬碟損壞;文件快捷方式對應的鏈接位置發生了變化;原來編輯文件的軟體刪除了;如果是在區域網中多表現為伺服器中文件存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。
經常報告內存不夠:病毒非法佔用了大量內存;打開了大量的軟體;運行了需內存資源的軟體;系統配置不正確;內存本就不夠(目前基本內存要求為128M)等。
提示硬碟空間不夠:病毒復制了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在區域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制,因查看的是整個網路盤的大小,其實"私人盤"上容量已用完了。
軟盤等設備未訪問時出讀寫信號:病毒感染;軟盤取走了還在打開曾經在軟盤中打開過的文件。
出現大量來歷不明的文件:病毒復制文件;可能是一些軟體安裝中產生的臨時文件;也或許是一些軟體的配置信息及運行記錄。
啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
數據丟失:病毒刪除了文件;硬碟扇區損壞;因恢復文件而覆蓋原文件;如果是在網路上的文件,也可能是由於其它用戶誤刪除了。
鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意"木馬";鍵盤或滑鼠損壞;主板上鍵盤或滑鼠介面損壞;運行了某個鍵盤或滑鼠鎖定程序,所運行的程序太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。
系統運行速度慢:病毒佔用了內存和CPU資源,在後台運行了大量非法操作;硬體配置低;打開的程序太多或太大;系統配置不正確;如果是運行網路上的程序時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程序;還有一種可能就是你的硬碟空間不夠用來運行程序時作臨時交換數據用。
系統自動執行操作:病毒在後台執行非法操作;用戶在注冊表或啟動組中設置了有關程序的自動運行;某些軟體安裝或升級後需自動重啟系統。
通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。
病毒的分類及各自的特徵
要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的了解,而且越詳細越好!
病毒因為由眾多分散的個人或組織單獨編寫,也沒有一個標准去衡量、去劃分,所以病毒的分類可按多個角度大體去分。
如按傳染對象來分,病毒可以劃分為以下幾類:
a、引導型病毒
這類病毒攻擊的對象就是磁碟的引導扇區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是引導扇區,所以造成的損失也就比較大,一般來說會造成系統無法正常啟動,但查殺這類病毒也較容易,多數殺毒軟體都能查殺這類病毒,如KV300、KILL系列等。
b、文件型病毒
早期的這類病毒一般是感染以exe、com等為擴展名的可執行文件,這樣的話當你執行某個可執行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件,因為這些文件通常是某程序的配置、鏈接文件,所以執行某程序時病毒也就自動被子載入了。它們載入的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白位元組中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中,感染後通常文件的位元組數並不見增加,這就是它的隱蔽性的一面。
c、網路型病毒
這種病毒是近幾來網路的高速發展的產物,感染的對象不再局限於單一的模式和單一的可執行文件,而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE文件進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的刪除、修改文件到現在進行文件加密、竊取用戶有用信息(如黑客程序)等,傳播的途經也發生了質的飛躍,不再局限磁碟,而是通過更加隱蔽的網路進行,如電子郵件、電子廣告等。
d、復合型病毒
把它歸為"復合型病毒",是因為它們同時具備了"引導型"和"文件型"病毒的某些特點,它們即可以感染磁碟的引導扇區文件,也可以感染某此可執行文件,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導扇區文件和可執行文件的感染,所以這類病毒查殺難度極大,所用的殺毒軟體要同時具備查殺兩類病毒的功能。
以上是按照病毒感染的對象來分,如果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:
a、良性病毒:
這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程序的水平。它們並不想破壞你的系統,只是發出某種聲音,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣,只是想竊取你電腦中的一些通訊信息,如密碼、IP地址等,以備有需要時用。
b、惡性病毒
我們把只對軟體系統造成干擾、竊取信息、修改系統信息,不會造成硬體損壞、數據丟失等嚴重後果的病毒歸之為"惡性病毒",這類病毒入侵後系統除了不能正常使用之外,別無其它損失,系統損壞後一般只需要重裝系統的某個部分文件後即可恢復,當然還是要殺掉這些病毒之後重裝系統。
c、極惡性病毒
這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統就要徹底崩潰,根本無法正常啟動,你保分留在硬碟中的有用數據也可能隨之不能獲取,輕一點的還只是刪除系統文件和應用程序等。
d、災難性病毒
這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁碟的引導扇區文件、修改文件分配表和硬碟分區表,造成系統根本無法啟動,有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。如果一旦染上這類病毒,你的系統就很難恢復了,保留在硬碟中的數據也就很難獲取了,所造成的損失是非常巨大的,所以我們進化論什麼時候應作好最壞的打算,特別是針對企業用戶,應充分作好災難性備份,還好現在大多數大型企業都已認識到備份的意義所在,花巨資在每天的系統和數據備份上,雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果,但是還是放鬆這"萬一"。我所在的雀巢就是這樣,而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主板的BIOS等硬體造成破壞。
如按其入侵的方式來分為以下幾種:
a、源代碼嵌入攻擊型
從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序,病毒是在源程序編譯之前插入病毒代碼,最後隨源程序一起被編譯成可執行文件,這樣剛生成的文件就是帶毒文件。當然這類文件是極少數,因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序,況且這種入侵的方式難度較大,需要非常專業的編程水平。
b、代碼取代攻擊型
這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊,這類病毒也少見,它主要是攻擊特定的程序,針對性較強,但是不易被發現,清除起來也較困難。
c、系統修改型
這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中的部分功能,由於是直接感染系統,危害較大,也是最為多見的一種病毒類型,多為文件型病毒。
d、外殼附加型
這類病毒通常是將其病毒附加在正常程序的頭部或尾部,相當於給程序添加了一個外殼,在被感染的程序執行時,病毒代碼先被執行,然後才將正常程序調入內存。目前大多數文件型的病毒屬於這一類。
有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷。
1、反病毒軟體的掃描法
這恐怕是我們絕大數朋友首選,也恐怕是唯一的選擇,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸等。至於這些反病毒軟體的使用在此就不必說敘了,我相信大家都有這個水平!
2、觀察法
這一方法只有在了解了一些病毒發作的症狀及常棲身的地方才能准確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:
a、內存觀察
這一方法一般用在DOS下發現的病毒,我們可用DOS下的"mem/c/p"命令來查看各程序佔用內存的情況,從中發現病毒佔用內存的情況(一般不單獨佔用,而是依附在其它程序之中),有的病毒佔用內存也比較隱蔽,用"mem/c/p"發現不了它,但可以看到總的基本內存640K之中少了那麼區區1k或幾K。
b、注冊表觀察法
這類方法一般適用於近來出現的所謂黑客程序,如木馬程序,這些病毒一般是通過修改注冊表中的啟動、載入配置來達到自動啟動或載入的,一般是在如下幾個地方實現:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
等等,具體可參考我的另一篇文章--《通通透透看木馬》,在其中對注冊表中可能出現的地方會有一個比較詳盡的分析。
c、系統配置文件觀察法
這類方法一般也是適用於黑客類程序,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini文件中有一個"shell="項,而在wini.ini文件中有"load= "、"run= "項,這些病毒一般就是在這些項目中載入它們自身的程序的,注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。具體也可參考我的《通通透透看木馬》一文。
d、特徵字元串觀察法
這種方法主要是針對一些較特別的病毒,這些病毒入侵時會寫相應的特徵代碼,如CIH病毒就會在入侵的文件中寫入"CIH"這樣的字元串,當然我們不可能輕易地發現,我們可以對主要的系統文件(如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現,當然編輯之前最好還要要備份,畢竟是主要系統文件。
e、硬碟空間觀察法
有些病毒不會破壞你的系統文件,而僅是生成一個隱藏的文件,這個文件一般內容很少,但所佔硬碟空間很大,有時大得讓你的硬碟無法運行一般的程序,但是你查又看不到它,這時我們就要打開資源管理器,然後把所查看的內容屬性設置成可查看所有屬性的文件(這方法應不需要我來說吧?),相信這個龐然大物一定會到時顯形的,因為病毒一般把它設置成隱藏屬性的。到時刪除它即可,這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例,明明只安裝了幾個常用程序,為什麼在C盤之中幾個G的硬碟空間顯示就沒有了,經過上述方法一般能很快地讓病毒顯形的。
參考資料: 電腦故障維修大全
『肆』 如何才能知道自己的電腦是否有病毒
您的計算機被感染時,會有幾種提示性標記。如果發現您的計算機在做一些異常的事情,特別是:
在您的屏幕上顯示意想不到的信息或圖片,或是在耳麥中聆聽到不正常的聲音;
CD/DVD-ROM非正常的打開和關閉;
計算機打開任意一個程序;
在您的計算機屏幕上彈出一個提示,試圖訪問網路(雖然您並沒有執行此項操作),那麼此刻您的計算機很有可能感染上了病毒。
如果是通過電子郵件感染上了病毒,會有如下幾種典型的症狀:
朋友或熟人和您談論您發送給他們的相關信息,但事實上並不是您發送的;
您的郵箱中存儲大量沒有返回地址或標題的信息。
必須注意這些信號不完全是由病毒引起的,也可能是其他問題產生,他們有時會是不同原因造成。例如,在傳輸郵件過程中,感染的消息在發送時攜帶您的返回地址,但其並不是從您的計算機中發送出去的。
下列幾項間接的提示您的計算機已經被感染了:
您的計算機經常死機或重啟
您的計算機運行程序出奇的慢;
不能從引導盤中啟動操作系統;
文件或文件夾莫名消失,或內容被篡改;
硬碟被頻繁的訪問
(亮燈閃爍);
網路瀏覽器(例如,Microsoft
Internet
Explorer)不能啟動或運行不正常(例如,不能關閉程序窗口)。
在90%情況中,這些間接性的系統故障是由軟硬體功能失常引起的。盡管這些症狀表明計算機被感染的可能性非常小,
但還是建議您對計算機進行全面掃描。
進程.就是正在進行的程序.是系統運行必須的.
『伍』 如何檢查自己電腦是否中病毒
一、進程
首先排查的就是進程了,方法簡單,開機後,什麼都不要啟動!
第一步:直接打開任務管理器,查看有沒有可疑的進程,不認識的進程可以Google或者網路一下。
PS:如果任務管理器打開後一閃就消失了,可以判定已經中毒;如果提示已經被管理員禁用,則要引起警惕!
第二步:打開冰刃等軟體,先查看有沒有隱藏進程(冰刃中以紅色標出),然後查看系統進程的路徑是否正確。
PS:如果冰刃無法正常使用,可以判定已經中毒;如果有紅色的進程,基本可以判斷已經中毒;如果有不在正常目錄的正常系統進程名的進程,也可以判斷已經中毒。
第三步:如果進程全部正常,則利用Wsyscheck等工具,查看是否有可疑的線程注入到正常進程中。
PS:Wsyscheck會用不同顏色來標注被注入的進程和正常進程,如果有進程被注入,不要著急,先確定注入的模塊是不是病毒,因為有的殺軟也會注入進程。
二、自啟動項目
進程排查完畢,如果沒有發現異常,則開始排查啟動項。
第一步:用msconfig察看是否有可疑的服務,開始,運行,輸入「msconfig」,確定,切換到服務選項卡,勾選「隱藏所有Microsoft服務」復選框,然後逐一確認剩下的服務是否正常(可以憑經驗識別,也可以利用搜索引擎)。
PS:如果發現異常,可以判定已經中毒;如果msconfig無法啟動,或者啟動後自動關閉,也可以判定已經中毒。
第二步:用msconfig察看是否有可疑的自啟動項,切換到「啟動」選項卡,逐一排查就可以了。
第三步,用Autoruns等,查看更詳細的啟動項信息(包括服務、驅動和自啟動項、IEBHO等信息)。
PS:這個需要有一定的經驗。
三、網路連接
ADSL用戶,在這個時候可以進行虛擬撥號,連接到Internet了。
然後直接用冰刃的網路連接查看,是否有可疑的連接,,對應的進程和埠等信息可以到Google或網路查詢。
如果發現異常,不要著急,關掉系統中可能使用網路的程序(如迅雷等下載軟體、殺毒軟體的自動更新程序、IE瀏覽器等),再次查看網路連接信息。
四、安全模式
重啟,直接進入安全模式,如果無法進入,並且出現藍屏等現象,則應該引起警惕,可能是病毒入侵的後遺症,也可能病毒還沒有清除!
五、映像劫持
打開注冊表編輯器,定位到HKEY_LOCAL_,查看有沒有可疑的映像劫持項目,如果發現可疑項,很可能已經中毒。
六、CPU時間
如果開機以後,系統運行緩慢,還可以用CPU時間做參考,找到可疑進程,方法如下:
打開任務管理器,切換到進程選項卡,在菜單中點「查看」,「選擇列」,勾選「CPU時間」,然後確定,單擊CPU時間的標題,進行排序,尋找除了SystemIdleProcess和SYSTEM以外,CPU時間較大的進程,這個進程需要一起一定的警惕。
目前這些辦法足以應付常見的病毒和木馬了
『陸』 如何查看自己電腦是否有病毒,或者是木馬攻擊
查看電腦是否入侵,是否留有後門:
1、查看任務管理器--進程,是否有可疑程序。查看詳細信息是否有可疑程序。必要時詳情中點擊程序右擊打開文件所在的位置看看,再右擊程序屬性看創建日期及修改日期,看是否最新更新過系統或驅動,沒有就要注意了。
2、win+R --cmd--輸入:netstat -ano 看是否有可疑IP在進行外網鏈接,狀態中後面數字為pid 。
解釋:
listening:埠在監聽,等待連接但是未連接;
time wait狀態:曾經有過連接但當前斷開了,最後一次連接狀態。
established狀態:連接中。
fin_wait_2:第二次fin應答狀態。
close_wait: 已關閉連接的狀態。
fin_wait: 關閉連接發fin應答狀態。
3、看時間查看器--windows日誌--系統,安全--信息--下部的常規--看服務文件名是否有可疑程序。
4、明知道是木馬,殺毒不了,建議備份數據後重裝電腦,加強防火牆及埠許可權。不要瀏覽沒有icp備案、不良信息的網站,
5、平時使用電腦比較快,看文件視頻瀏覽網頁不卡,但是遇到突然網頁卡死或無網路、網路非常慢等要檢查網線是否正常後查看是否被攻擊。被攻擊後建議備份數據重新裝系統。
防止入侵:
1、加強防火牆管理。
2、加強埠進出入站規則。
3、加強遠程許可權管理。
4、加強共享文件管理。
5、不看不良網站。
其他命令:
1、通過埠找pid:netstat -aon|findstr "8008";
2、通過pid找程序:tasklist|findstr "3306";
3、查看ip,埠, pid信息:netstat -ano。
『柒』 怎麼判斷我的電腦有沒有中病毒
或許長了點。
病毒與軟、硬體故障的區別和聯系
電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於許可權設置所致。我們只有充分地了解兩者的區別與聯系,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。
症狀 病毒的入侵的可能性 軟、硬體故障的可能性
經常死機:病毒打開了許多文件或佔用了大量內存;不穩定(如內存質量差,硬體超頻性能差等);運行了大容量的軟體佔用了大量的內存和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;運行網路上的軟體時經常死機也許是由於網路速度太慢,所運行的程序太大,或者自己的工作站硬體配置太低。
系統無法啟動:病毒修改了硬碟的引導信息,或刪除了某些啟動文件。如引導型病毒引導文件損壞;硬碟損壞或參數設置不正確;系統文件人為地誤刪除等。
文件打不開:病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬碟損壞;文件快捷方式對應的鏈接位置發生了變化;原來編輯文件的軟體刪除了;如果是在區域網中多表現為伺服器中文件存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。
經常報告內存不夠:病毒非法佔用了大量內存;打開了大量的軟體;運行了需內存資源的軟體;系統配置不正確;內存本就不夠(目前基本內存要求為128M)等。
提示硬碟空間不夠:病毒復制了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在區域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制,因查看的是整個網路盤的大小,其實"私人盤"上容量已用完了。
軟盤等設備未訪問時出讀寫信號:病毒感染;軟盤取走了還在打開曾經在軟盤中打開過的文件。
出現大量來歷不明的文件:病毒復制文件;可能是一些軟體安裝中產生的臨時文件;也或許是一些軟體的配置信息及運行記錄。
啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
數據丟失:病毒刪除了文件;硬碟扇區損壞;因恢復文件而覆蓋原文件;如果是在網路上的文件,也可能是由於其它用戶誤刪除了。
鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意"木馬";鍵盤或滑鼠損壞;主板上鍵盤或滑鼠介面損壞;運行了某個鍵盤或滑鼠鎖定程序,所運行的程序太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。
系統運行速度慢:病毒佔用了內存和CPU資源,在後台運行了大量非法操作;硬體配置低;打開的程序太多或太大;系統配置不正確;如果是運行網路上的程序時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程序;還有一種可能就是你的硬碟空間不夠用來運行程序時作臨時交換數據用。
系統自動執行操作:病毒在後台執行非法操作;用戶在注冊表或啟動組中設置了有關程序的自動運行;某些軟體安裝或升級後需自動重啟系統。
通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。
病毒的分類及各自的特徵
要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的了解,而且越詳細越好!
病毒因為由眾多分散的個人或組織單獨編寫,也沒有一個標准去衡量、去劃分,所以病毒的分類可按多個角度大體去分。
如按傳染對象來分,病毒可以劃分為以下幾類:
a、引導型病毒
這類病毒攻擊的對象就是磁碟的引導扇區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是引導扇區,所以造成的損失也就比較大,一般來說會造成系統無法正常啟動,但查殺這類病毒也較容易,多數殺毒軟體都能查殺這類病毒,如KV300、KILL系列等。
b、文件型病毒
早期的這類病毒一般是感染以exe、com等為擴展名的可執行文件,這樣的話當你執行某個可執行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件,因為這些文件通常是某程序的配置、鏈接文件,所以執行某程序時病毒也就自動被子載入了。它們載入的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白位元組中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中,感染後通常文件的位元組數並不見增加,這就是它的隱蔽性的一面。
c、網路型病毒
這種病毒是近幾來網路的高速發展的產物,感染的對象不再局限於單一的模式和單一的可執行文件,而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE文件進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的刪除、修改文件到現在進行文件加密、竊取用戶有用信息(如黑客程序)等,傳播的途經也發生了質的飛躍,不再局限磁碟,而是通過更加隱蔽的網路進行,如電子郵件、電子廣告等。
d、復合型病毒
把它歸為"復合型病毒",是因為它們同時具備了"引導型"和"文件型"病毒的某些特點,它們即可以感染磁碟的引導扇區文件,也可以感染某此可執行文件,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導扇區文件和可執行文件的感染,所以這類病毒查殺難度極大,所用的殺毒軟體要同時具備查殺兩類病毒的功能。
以上是按照病毒感染的對象來分,如果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:
a、良性病毒:
這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程序的水平。它們並不想破壞你的系統,只是發出某種聲音,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣,只是想竊取你電腦中的一些通訊信息,如密碼、IP地址等,以備有需要時用。
b、惡性病毒
我們把只對軟體系統造成干擾、竊取信息、修改系統信息,不會造成硬體損壞、數據丟失等嚴重後果的病毒歸之為"惡性病毒",這類病毒入侵後系統除了不能正常使用之外,別無其它損失,系統損壞後一般只需要重裝系統的某個部分文件後即可恢復,當然還是要殺掉這些病毒之後重裝系統。
c、極惡性病毒
這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統就要徹底崩潰,根本無法正常啟動,你保分留在硬碟中的有用數據也可能隨之不能獲取,輕一點的還只是刪除系統文件和應用程序等。
d、災難性病毒
這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁碟的引導扇區文件、修改文件分配表和硬碟分區表,造成系統根本無法啟動,有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。如果一旦染上這類病毒,你的系統就很難恢復了,保留在硬碟中的數據也就很難獲取了,所造成的損失是非常巨大的,所以我們進化論什麼時候應作好最壞的打算,特別是針對企業用戶,應充分作好災難性備份,還好現在大多數大型企業都已認識到備份的意義所在,花巨資在每天的系統和數據備份上,雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果,但是還是放鬆這"萬一"。我所在的雀巢就是這樣,而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主板的BIOS等硬體造成破壞。
如按其入侵的方式來分為以下幾種:
a、源代碼嵌入攻擊型
從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序,病毒是在源程序編譯之前插入病毒代碼,最後隨源程序一起被編譯成可執行文件,這樣剛生成的文件就是帶毒文件。當然這類文件是極少數,因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序,況且這種入侵的方式難度較大,需要非常專業的編程水平。
b、代碼取代攻擊型
這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊,這類病毒也少見,它主要是攻擊特定的程序,針對性較強,但是不易被發現,清除起來也較困難。
c、系統修改型
這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中的部分功能,由於是直接感染系統,危害較大,也是最為多見的一種病毒類型,多為文件型病毒。
d、外殼附加型
這類病毒通常是將其病毒附加在正常程序的頭部或尾部,相當於給程序添加了一個外殼,在被感染的程序執行時,病毒代碼先被執行,然後才將正常程序調入內存。目前大多數文件型的病毒屬於這一類。
有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷。
1、反病毒軟體的掃描法
這恐怕是我們絕大數朋友首選,也恐怕是唯一的選擇,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸等。至於這些反病毒軟體的使用在此就不必說敘了,我相信大家都有這個水平!
2、觀察法
這一方法只有在了解了一些病毒發作的症狀及常棲身的地方才能准確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:
a、內存觀察
這一方法一般用在DOS下發現的病毒,我們可用DOS下的"mem/c/p"命令來查看各程序佔用內存的情況,從中發現病毒佔用內存的情況(一般不單獨佔用,而是依附在其它程序之中),有的病毒佔用內存也比較隱蔽,用"mem/c/p"發現不了它,但可以看到總的基本內存640K之中少了那麼區區1k或幾K。
b、注冊表觀察法
這類方法一般適用於近來出現的所謂黑客程序,如木馬程序,這些病毒一般是通過修改注冊表中的啟動、載入配置來達到自動啟動或載入的,一般是在如下幾個地方實現:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
等等,具體可參考我的另一篇文章--《通通透透看木馬》,在其中對注冊表中可能出現的地方會有一個比較詳盡的分析。
c、系統配置文件觀察法
這類方法一般也是適用於黑客類程序,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini文件中有一個"shell="項,而在wini.ini文件中有"load= "、"run= "項,這些病毒一般就是在這些項目中載入它們自身的程序的,注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。具體也可參考我的《通通透透看木馬》一文。
d、特徵字元串觀察法
這種方法主要是針對一些較特別的病毒,這些病毒入侵時會寫相應的特徵代碼,如CIH病毒就會在入侵的文件中寫入"CIH"這樣的字元串,當然我們不可能輕易地發現,我們可以對主要的系統文件(如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現,當然編輯之前最好還要要備份,畢竟是主要系統文件。
e、硬碟空間觀察法
有些病毒不會破壞你的系統文件,而僅是生成一個隱藏的文件,這個文件一般內容很少,但所佔硬碟空間很大,有時大得讓你的硬碟無法運行一般的程序,但是你查又看不到它,這時我們就要打開資源管理器,然後把所查看的內容屬性設置成可查看所有屬性的文件(這方法應不需要我來說吧?),相信這個龐然大物一定會到時顯形的,因為病毒一般把它設置成隱藏屬性的。到時刪除它即可,這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例,明明只安裝了幾個常用程序,為什麼在C盤之中幾個G的硬碟空間顯示就沒有了,經過上述方法一般能很快地讓病毒顯形的。