⑴ 病毒文件怎样在系统中区分出来
在用杀毒软件查杀病毒的时候,经常会从自己的电脑中找出一些病毒,它们都有一串很长的名字,如Worm.Padobot.u、 Backdoor.RBot.abc等,根本看不懂是什么意思,也不知道是一种什么病毒?其实病毒的名称中就已经包含了这个病毒类型和特点。 下面我们就来介绍一下病毒的名称是怎么样来命名的?还有从病毒名称中怎么样来看这个病毒的类型和特点。 病毒的命名规则 病毒的命名并没有一个统一的规定,每个反病毒公司的命名规则都不太一样,但基本都是采用前、后缀法来进行命名的,可以是多个前缀、后缀组合,中间以小数点分隔,一般格式为:〔前缀〕.〔病毒名〕.〔后缀〕 1.病毒前缀 病毒前缀是指一个病毒的种类,我们常见的木马病毒的前缀是“Trojan”,蠕虫病毒的前缀是“Worm”,其他前缀还有如“ Macro”、“Backdoor”、“Script”等。 2.病毒名 病毒名是指一个病毒名称,如以前很有名的CIH病毒,它和它的一些变种都是统一的“CIH”,还有振荡波蠕虫病毒,它的病毒名则是“Sasser”。 3.病毒后缀 病毒后缀是指一个病毒的变种特征,一般是采用英文中的26 个字母来表示的,如 “Worm.Sasser.c”是指振荡波蠕虫病毒的变种c。如果病毒的变种太多了,那也可以采用数字和字母混合的方法来表示病毒的变种。 病毒的命名解释 1.木马病毒 木马病毒的前缀是:Trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏,然后再向外界泄露用户的信息。一般的木马如QQ消息尾巴Trojan.QQPSW.r,网络游戏木马病毒Trojan.StartPage.FH等。病毒名中有PSW或者什么PWD之类的是表示这个病毒有盗取密码的功能,所有这类病毒特别需要注意。 2.脚本病毒 脚本病毒的前缀是:Script。脚本病毒是用脚本语言编写,通过网页进行的传播的病毒,如红色代码Script.Redlof等。有些脚本病毒还会有 VBS、HTML之类的前缀,是表示用何种脚本编写的,如欢乐时光VBS.Happytime、HTML.Reality.D等。 3.系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的特点是可以感染Windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播,如以前有名的CIH病毒就属于系统病毒。 4.宏病毒 宏病毒也可以算是脚本病毒的一种,由于它的特殊性,因此就单独算成一类。宏病毒的前缀是:Macro,第二前缀有Word、 Word97、Excel、 Excel97等,根据感染的文档类型来选择相应的第二前缀。该类病毒的特点就是能感染OFFICE系列的文档,然后通过OFFICE通用模板进行传播,如以前著名的美丽莎病毒 Macro.Melissa。 5.蠕虫病毒 蠕虫病毒的前缀是:Worm。这种病毒的特点是可以通过网络或者系统漏洞来进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性,大家比较熟悉的这类病毒有冲击波、震荡波等。 6.捆绑机病毒 捆绑机病毒的前缀是:Binder。病毒作者会使用特定的捆绑程序把病毒与一些应用程序(如QQ等大家常用的软件)捆绑起来,表面上看去是个正常的文件,但当用户运行这些应用程序时,也同时运行了被捆绑在一起的病毒文件,从而给用户造成危害。如系统杀手Binder.killsys。 7.后门病毒 后门病毒的前缀是:Backdoor。该类病毒的特点就是通过网络传播来给中毒系统开后门,给用户电脑带来安全隐患。如爱情后门病毒Worm.Lovgate.a/b/c
⑵ 怎样区分一个文件是否是病毒
汗一下“马后炮:运行后没什么反映,那么你就中标了. 回答者:zzv – 高级经理 六级 8-16 17:52”很多文件运行后都没什么反映,如果玩过游戏的话你是一定晓得的~即使是系统文件也有很多运行后没反映的~区分文件是否病毒,要看是什么文件了,如果是.exe可执行文件,可以看它的创建日期以及是否为隐藏文件,一般隐藏的.exe都是病毒或木马。另外注意一下这个文件的创建时间,如果说你觉得最近几天感觉机器有中毒的症状,则可以在系统文件夹里(windows以及下面的system32)观察一下那些.exe文件,基本上所有的病毒木马都会藏在这里。一般来说:C:\WINDOWS\system32下面的exe文件都不会是最近几个月的。如果有创建日期为最近几天的exe文件则要小心了。C:\WINDOWS\下面基本上的exe都是基本的那几个,而且创建日期都是几年前的。如果发现最近创建的也比较麻烦。另外最可以的就是的.dll(应用程序扩展,也叫“动态链接库文件”)了,它是.exe的辅助文件,即是有些.exe删除不了就是因为后台有.dll文件的支持。所以如果发现有些已经确定为病毒的.exe文件删不了就要按时间排序注意一下相近时间内的.dll文件。删除了相关.dll文件后就可以清楚.exe文件了~~~汗,,把楼主的补充忘了.任务管理器有些进程不能停止的话,你可以看一下是哪些进程,最好是可以了解到这些进程的路径。(冰刀是个很不错的软件,可以看这些进程)~很多木马都是不允许禁止的,除非把相关的.dll文件删除后就可以了~一般来说是这样~
⑶ 怎么样知道电脑上哪些文件是病毒
如果不用杀毒软件的话,很难知道哪些文件是病毒,即使是专家也难。因为许多病毒是感染正常的文件,然后就寄生在正常的文件里了,你运行正常文件,病毒也运行了。不用杀毒软件的话,就得靠经验了。比如如果你发现好多.exe的文件的图标都没了,那可能就是中了病毒了,曾经的威金变种病毒感染后就是那样……还有许多特征都得靠自己积累了
⑷ 怎么知道那些是病毒文件
用杀毒软件查,病毒文件具有隐藏性,一般不容易被发现,高手通常看进程判断是否有病毒存在,如果发现有某一不明程序大量占用cpu资源,就有必要考虑是否是病毒,当然System Idle Process是例外,它占用越多,说明空闲资源越多,当然越好
⑸ 在系统中如何辨别出哪些是病毒文件
安装正规的杀毒软件,是病毒会自动提示的 为了大家尽早发现病毒和尽早杀病毒,以免病毒滋生和蔓延,给你造成更严重的危害,我综合了各种中病毒后的症状,发布以下症状表现,希望大家远离电脑病毒的困扰。 满足以下3条症状的即为中了电脑病毒 1,各程序运行速度明显比平时慢 2,内存耗损严重,开启程序过多时例外。 3,鼠标不听指挥 4,不明程序在运行,且严重占用内存 5,点击一个窗口,同时打开很多一样的窗口 6,网络端口被不听刷新 7,操作系统总是出现运行错误 8,未被修改过的文件出现丢失或者已经被修改的提示 9,查找注册表内键值发现有陌生键值存在 10,信息显示,有用户试图登陆你的电脑 11,在DOS环境中,显示有PING命令在运行,并有数据包发送给你的电脑 12,电脑网络端口被扫描 13,电脑无故频繁重新启动 14,利用瑞星等杀毒软件杀毒时,发现病毒越杀越多 15,屏幕异常黑屏 16,有程序试图登陆网络 17,键盘失效,无法输入字符 18,某个文本文件被自动翻页 19,某个正在运行的程序被异常中断 20,防火墙提示有端口正被监听 21,屏幕被不停刷屏 22,操作系统文件异常丢失 23,游戏无法进入,有声音但是没有图像 24,网络连接时断时续,速度比平时慢许多 25,启动杀毒软件时,杀毒软件提示程序文件丢失或损坏 26,使用杀毒软件杀毒以后,再杀,仍旧提示有病毒 27,电脑硬盘空间无故减少,或提示硬盘扇区有损坏 28,光驱未使用时,却自动运行 29,软区未使用时,却自动运行 如果,你的电脑符合14,25,26中任何一条的话,表示你的杀毒软件也已经感染了病毒,所以,你就别指望杀毒软件能够帮你杀毒了。 首先要做的就是卸载杀毒软件,避免更大的损失,然后用手动杀毒把病毒清除就是了。
⑹ 如何确定任务管理器中进程,哪些是病毒,哪些是系统文件
啊打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。1.由于windows 任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files、C:\Documents and Settings\user\Local Settings\Temporary Internet Files、C:\Documents and Settings\user\Local Settings\Temp等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试著中止病毒进程并删除。B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。C.使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试著删除病毒进程文件和相应的模块。(慎用)3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法。4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用360安全卫士,看浏览器辅助对象BHO是否有可疑项目,有没有没恶意插件或者木马。有就修复它。5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。开始>>运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效。还是要按步骤1、2办。6.说了这么多,不过有时还是不能解决。只好请教高人或格式化重做系统了,当然不推荐后者
⑺ 怎样快速找到电脑里的病毒文件
首先查看自己的电脑中是否有木马病毒1、集成到程序中其实木马病毒也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马病毒程序,那么木马病毒文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马病毒被删除了,只要运行捆绑了木马病毒的应用程序,木马病毒又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马病毒。2、隐藏在配置文件中木马病毒实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马病毒提供了一个藏身之处。而且利用配置文件的特殊作用,木马病毒很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马病毒程序的并不多见,但也不能因此而掉以轻心哦。3、潜伏在Win.ini中木马病毒要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马病毒。当然,木马病毒也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马病毒感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\\windows\\file.exeload=c:\\windows\\file.exe这时你就要小心了,这个file.exe很可能是木马病毒哦。4、伪装在普通文件中这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本—-在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于默认设置是\"不显示已知的文件后缀名\",文件将会显示为*.jpg,不注意的人一点这个图标就中木马病毒了。5、内置到注册表中上面的方法让木马病毒着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马病毒常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马病毒哦:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值。6、在System.ini中藏身木马病毒真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马病毒喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exefile.exe,如果确实有这样的内容,那就不幸了,因为这里的file.exe就是木马病毒服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\\程序名”,这里也有可能被木马病毒所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马病毒程序的好场所,现在该知道也要注意这里喽。7、隐形于启动组中有时木马病毒并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马病毒加载到系统中,任用什么方法都无法将它赶跑(哎,这木马病毒脸皮也真是太厚),因此按照这个逻辑,启动组也是木马病毒可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\\windows\\startmenu\\programs\\startup,在注册表中的位置:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\ShellFoldersStartup=\"C:\\windows\\startmenu\\programs\\startup\"。要注意经常检查启动组哦!8、隐蔽在Winstart.bat中按照上面的逻辑理论,凡是利于木马病毒能自动加载的地方,木马病毒都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马病毒完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。9、捆绑在启动文件中即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马病毒启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马病毒的目的了。10、设置在超级连接中木马病毒的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非了解它,信任它,为它死了也愿意等等。下面再看木马病毒的清除方法1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。2、删除上述可疑键在硬盘中的执行文件。3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\InternetExplorer\\Main中的几项(如LocalPage),如果被修改了,改回来就可以。5、检查HKEY_CLASSES_ROOT\\inifile\\shell\\open\\command和HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
⑻ 怎么确定病毒包括哪几个文件
提取病毒样本…在一台干净的机器上安装文件监视工具如: FILEMON,并开启,释放病毒样本,察看工具的纪录。这样就能基本了解病毒释放了哪些文件以及感染了哪些文件。
⑼ 如何查看病毒文件
手工清除隐藏的病毒和木马检查注册表 注册表一直都是很多木马和病毒“青睐”的寄生场所,注意在检查注册表之前要先给注册表备份。 1、检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了 一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除。 2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。 3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\ txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改. txt、.ini等的默认打开程序而清除不了的。 检查你的系统配置文件 其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe),在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,并且可以选择启动系统的时间。 1、检查win.ini文件(在C:\windows\下),打开后,在?WINDOWS?下面,“run=”和“load=”是可能加载“木马”程序 的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木 马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。 2、检查system.ini文件(在C:\windows\下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。
⑽ 怎样识别病毒文件,例如扩展名,有什么特点,怎样发现
病毒文件一般是捆绑在正常的文件中,一般不用专有的工具是很难发现的。有病毒的文件比没有病毒的文件大,他只是一个程序捆绑在正常文件中。扩展名也是不被人发现的自定义。
