如何檢測電腦病毒

❶ 電腦病毒如何檢測和查殺

電腦的病毒都是具備感染性和攻擊性的，如果我們的電腦在日常的使用當中出現中毒的現象的話，我們就需要對電腦進行全面的檢測和病毒查殺，下面就讓我教大家電腦病毒如何檢測和查殺吧。

檢測和查殺電腦病毒的方法

騰訊電腦管家全面查殺

對於電腦病毒的查殺，我們可以使用相關的軟體來幫助我們檢測，首先進入到騰訊電腦管家的主頁面中

❷ 如何識別電腦病毒

如何識別電腦病毒

一、文件時間

如果你覺得電腦不對勁，用殺毒軟體檢查後，沒什麼反映或清除一部分病毒後還是覺得不對勁，可以根據文件時間檢查可疑對象。

文件時間分為創建時間、修改時間(還有一個訪問時間，不用管)，可以從文件的屬性中看到，點選文件，右擊，選擇菜單中的屬性就可以在“常規”那頁看到這些時間了。

通常病毒、木馬文件的創建時間和修改時間都比較新，如果你發現的早，基本就是近幾日或當天。c:windows和c:windows system32，有時還有c:windowssystem32drivers，如果是2000系統，就把上面的windows改成winnt，這些地方都是病毒木馬常呆的地方，按時間排下序(查看-詳細資料，再點下標題欄上的“修改時間”)，查看下最新幾日的文件，特別注意exe和dll文件，有時還有dat、ini、cfg文件，不過後面這些正常的文件也有比較新的修改時間，不能確認就先放一邊，重點找exe和dll，反正後三個也不是執行文件。一般來說系統文件特別是exe和dll)不會有如此新的修改時間。

當然更新或安裝的其它應用軟體可能會有新的修改時間，可以再對照下創建時間，另外自己什麼時間有沒裝過什麼軟體應該知道，實在不知道用搜索功能，在全硬碟上找找相關時間有沒建立什麼文件夾，看看是不是安裝的應用軟體，只要時間對得上就是正常的。如果都不符合，就是病毒了，刪除。

說明一點，正如不是所有最新的文件都是病毒一樣，也不是說所有病毒的時間都是最新的，有的病毒文件的日期時間甚至會顯示是幾年前。

當然我們還有其他的分辨方法。

二、文件名

文件名是第一眼印象，通過文件名來初步判斷是否可疑是最直接的方法，之所以放在時間判斷後面，實在是從一大堆文件中分揀可疑分子太難了，還是用時間排下序方便些。

我們常說的隨機字母(有時還有數字，較少)組合的文件名，病毒最愛用它(曾經發現某些正常軟體也有使用這種奇怪組合的習慣，比如雅虎上網助手，每次文件名都不一樣，動機可疑，還有某貓的驅動程序也看似隨機組合，不過幸好有廠商信息可以協助分辨，這個下一點再說)。

還有文件名的長度，有的嚴重超出8位文件名的標准，有10幾位之多，這都應列為可疑對象，尤其是IE插件中有這些的文件名出現。

當然光說文件名古怪、隨機組合，似乎沒有一個標准，不熟悉電腦的人看所有的英文文件名都可能認為是奇怪的、無意義的`排列組合，所以真要依靠文件名判斷，還是要對系統文件夾下的文件、常規文件有一定了解後才能比較好的掌握。初步來說，結合上面的時間還有其它手段共同判斷，還是可以發現點東西的。

還有一種就是假冒正常文件、系統文件的文件名，這倒比較好識別，比如 svchost.exe和svch0st.exe，很明顯後者在假冒前者，這種欲蓋彌彰倒更容易暴露，前提是你對系統文件名比較熟悉，有事沒事打開任務管理器學習一下吧。

對應於文件名，還有服務名、驅動名、注冊表啟動項名，相對而言，這些項目的名字如果沒有表示出一定含義，倒真是病毒了，還沒幾個廠商會不負責任地給自己的軟體要用到的服務、驅動、啟動項起個無意義、隨便組合的名字，如果服務、驅動、啟動項名是有問題的，那麼下面使用的文件一定是有問題的。

實在沒把握，把文件名(有時要包括完整文件路徑，不同路徑下的同名文件可不一樣，這個以後說)、服務名、驅動名、啟動項名放到網上搜索一下，看看別人怎麼說的，特別是對查不到的、還有服務、驅動、啟動項與文件名對不上的(如同一服務名在網上查出有不同文件與之對應，或相反情況)，都可以列為可疑對象。

三、版本信息

檢查文件時間有不確定性，再加一個檢查項目文件版本，也是在文件的屬性中查看，有文件版本、廠商信息等。首先明確一下，不是所有文件都有版本信息，也不是所有無版本信息的文件都是病毒文件，更不是所有顯示微軟信息的文件都真是微軟的。

文件名、文件時間，再對上文件版本，基本可以得出一個結果，比如一個奇怪的文件名，顯示微軟的廠商信息，明顯可疑;或者本來應該是正常的系統文件(如explorer.exe或userinit.exe)卻沒有版本信息，可能是被病毒替換或破壞了;還有soundman.exe廠商信息竟然是 1，可以考慮刪除了，應該不是音效卡的程序了。

版本信息中除了廠商以外，還有原文件名，有時你會在這里發現一個與檢查文件不同的名字，真是別有天地。

四、位 置

病毒木馬喜歡呆的地方是系統文件夾，windows、windowssystem32、windows/system32 drivers，還有c:programfilesinternet explorer/c:program filesinternet explorerplugin、c:program filescommon filesmiscrosoft shared，還有就是臨時文件夾、IE緩存。

首先臨時文件夾c:documents and settings你的用戶名localsettings emp和c:windows emp是一定要清的，而且可以大膽地刪除，不管好壞，刪了沒事，IE緩存也要清的，不是直接進文件夾刪除，而從IE的菜單工具-internet選項進入，刪除文件-刪除所有離線文件，最好在高級那設成關閉瀏覽器時自動清空臨時文件，就省事了。

其它文件夾，主要看是否有不該存在的文件存在，比如windows文件夾中多了什麼瑞星的文件(卡卡的倒是有在那)、realplayer的文件，絕對可疑，還有比如svchost.exe、ctfmon.exe突然出現在windows或其它文件夾中，而不是在它們應該在的system32 中，也可以確定是病毒。當然可以結合上面的幾個方法一起判斷。有的時候是得靠經驗，相對而言文件比較少的文件夾比較好判斷，多出什麼很容易發覺，比如windows、ie文件夾，多看看，就知道基本就是那些，多一兩個exe或dll，馬上可以發現(很多流氓軟體是會在這里安身)。

還有就是結合注冊表啟動項，一般啟動項引用到windws中的不多，基本是輸入法、音效卡管理，更多的就可疑了，指到system32下的了多看兩眼，實在拿不準，老辦法，到網上查文件名。如果發現啟動項指向font字體文件夾的，那不用想了，一定有問題。

服務驅動也是如此，不是在system32或driver中的就要多檢查下(自然在它們下面的也要檢查，何況不在)。

除了文件夾位置，還有注冊表位置，除了幾個RUN的啟動項，還有映像劫持(IFEO)要檢查，值有debugger的都要注意一下，除了最後一個your image file namehere without a path有個debugger=ntsd -d，其它的是都沒有的，只要有發現就是被劫持(免疫的除外，免疫是把已知病毒程序名劫持到不存在的文件上，使其不能運行)，然後就找劫持文件，就是 debugger後面的文件，找到後連同注冊表項一起刪除。但注意，現在的劫持有的用的不是病毒文件，是系統文件或命令，比如svchost.exe或 ntsd -d，這就不要刪除文件了，只要把注冊表項刪除。

還有要注意的注冊表項有appinit_dlls，一般為空值(例外，卡卡的一個文件會放這)，如果多出值就是病毒，按名字找到刪除。還有一個就是userinit，一般也是空的，多東西修改就要查查是否正常。

---

❸ 計算機病毒檢測方法有哪些

計算機如果中病毒了，那麼我們要怎麼樣去檢測呢?下面由我給你做出詳細的計算機病毒檢測 方法 介紹!希望對你有幫助!

計算機病毒檢測方法一：

計算機病毒檢測 1.手工檢測

手工檢測是指通過一些軟體工具(DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能) 進行病毒的檢測。這種方法比較復雜，需要檢測者熟悉機器指令和 操作系統 ，因而無法普及。

它的基本過程是利用一些工具軟體，對易遭病毒攻擊和修改的內存及磁碟的有關部分進行檢查，通過和正常情況下的狀態進行對比分析，來判斷是否被病毒感染。這種方法檢測病毒，費時費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認識的新病毒。

計算機病毒檢測 2.自動檢測

自動檢測是指通過一些診斷軟體來判讀一個系統或一個軟盤是否有毒的方法。自動檢測則比較簡單，一般用戶都可以進行，但需要較好的診斷軟體。

這種方法可方便地檢測大量的病毒，但是，自動檢測工具只能識別已知病毒，而且自動檢測工具的發展總是滯後於病毒的發展，所以檢測工具總是對相對數量的未知病毒不能識別。

就兩種方法相比較而言，手工檢測方法操作難度大，技術復雜，它需要操作人員有一定的軟體分析 經驗 以及對操作系統有一個深入的了解。而自動檢測方法操作簡單、使用方便，適合於一般的計算機用戶學習使用;但是

由於計算機病毒的種類較多，程序復雜，再加上不斷地出現病毒的變種，所以自動檢測方法不可能檢測所有未知的病毒。在出現一種新型的病毒時，如果現有的各種檢測工具無法檢測這種病毒，則只能用手工方法進行病毒的檢測。其實，自動檢測也是在手工檢測成功的基礎上把手工檢測方法程序化後所得的。

因此，手工檢測病毒是最基本、最有力的工具。

病毒感染正常文件或系統會引起各種變化，從這些變化中找出某些本質性的變化，作為診斷病毒的判據。廣泛使用的主要檢測病毒方法有：比較法、搜索法、分析法、感染實驗法、軟體模擬法、行為檢測法。

計算機病毒檢測方法二：

提早發現病毒對計算機的防護是很重要的。早發現，早處置，可以減少損失。現在介紹幾種檢測病毒的方法，雖然方法不盡相同，但各具所長。 特徵代碼法、校驗和法、行為監測法、軟體模擬法，

病毒特徵代碼檢測法

特徵代碼檢測是目前較為普遍的病毒檢測方法，是通過檢測工具(反病毒軟體)置入已知病毒特徵代碼來檢測病毒，但對從未見過的新病毒，卻無法檢測。在技術上需要不斷更新程序版本，升級病毒特徵代碼。

文件校驗和法

將計算出系統正常文件內容的校驗和進行保存。並定期檢查文件的校驗和與原來保存的校驗和是否一致，從而發現文件是否感染病毒，這種方法叫文件校驗和法。它既可發現已知病毒又可發現未知病毒，能觀測文件的細微變化。

但是這種方法常常誤報警，原因是病毒感染並非文件內容改變的惟一的非他性，還有可能是正常程序引起的。文件校驗和法不是最好的方法，它會影響文件的運行速度。不能識別病毒名稱、不能對付隱蔽型病毒。

行為特徵監測法

利用病毒的特有行為特徵性來監測病毒的方法，稱為行為監測法。通過對病毒長期觀察，研究、識別出病毒行為共同性和特殊性。當系統運行時，監視其行為，如果有病毒行為，會立即發出警報。行為特徵監測法可以發現未知病毒、能相當准確地預報未知的多數病毒。但可能導致誤報、不能識別病毒名稱。

軟體模擬法由此演繹為虛擬機上進行的查毒，啟發式查毒技術等，是相對成熟的技術。

❹ 怎麼查看電腦是不是中病毒了

怎麼查看電腦是不是中病毒了？方法如下：

1、首先你的電腦會突然變的很卡頓，滑鼠自己會動或者會卡頓，在任務管理器中發現很多不熟悉的軟體和不明的進程。

❺ 怎樣查殺計算機病毒

計算機病毒能夠感染其他程序，對計算機資源進行破壞，那麼怎樣查殺計算機病毒呢?就讓我來告訴大家查殺計算機病毒的方法吧，希望可以幫助到大家。

查殺計算機病毒方法一

1、電腦一般中毒我們使用殺毒軟體就可以查殺病毒，但是如果殺毒軟體也感染了或者給病毒關閉了，就需要我們進行手動查殺，這里以WindowsXP給大家演示。第一步需要做的就是先與網路斷開，這樣的做法是防止病毒的連接。選擇桌面的網上鄰居，右鍵單擊選擇屬性選項，彈出網路連接窗口。

2、選擇網路連接窗口中的本地連接，右鍵單擊選擇停用(B)選項。

3、接下來進行手動查殺病毒，打開開始菜單，輸入Cmd命令，打開命令提示符窗口。

4、命令提示符下輸入ftype exefile=notepad.exe %1命令，命令的意思是將所有的EXE文件用“記事本”打開。

5、輸 入以上命令之後選擇開始菜單，關閉計算機(U)，重新啟動電腦(R)把計算機重新啟動，重啟完電腦之後，你會看見打開了許多“記事本”。當然，這其中不僅有病毒文件，還有一些原來的系統文件，比如：輸入法程序，之類的，意思就是所有的EXE程序都以記事本類型來打開，病毒文件也是EXE程序，所以都以記事本類型來打開了。

6、接下來我們把們把EXE文件關聯還原，不然你打開任何EXE文件都是以記事本文件類型運行的，我們右鍵任意文件選擇右建-選擇打開方式-選擇程序，然後瀏覽到c:windowssystem32cmd.exe 文件，打開該文件。

7、打開之後我們在打開方式窗口可以看到多了個CMD文件的選項，選擇CMD程序。

然後單擊確定打開CMD命令提示符。

8、打開命令提示符之後輸入命令ftype exefile=%1 %* 將所有的EXE文件關聯還原。接下來在每一個重啟電腦之後啟動的記事本窗口中選擇文件-另存為就可看到了路徑以及文件名了，打開目錄，找到病毒文件，手動刪除即可，但得小心，必須確定那是病毒才能刪除。建議將這些文件改名並記下，上網路查看一下是不是系統文件，以免誤刪造成系統啟動不了。

9、我們選擇另存為之後選擇保存類型的下拉列表裡面選擇所有文件，這個時候就可以看到與文件名稱一樣的病毒文件了，刪除即可。

12、定期更新殺毒軟體可以預防電腦經常中毒的麻煩，使用電腦的朋友一定要經常更新或者設置自動更新病毒庫。

查殺計算機病毒方法二

1 、在 安全模式或純DOS模式下清除病毒

當計算機感染病毒的時候，絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒，這里說的正常模式准確的說法應該是實模式(Real Mode)，這里通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。 但有些病毒由於使用了更加隱匿和狡猾的手段往往會對殺毒軟體進行攻擊甚至是刪除系統中的殺毒軟體的做法，針對這樣的病毒絕大多數的殺毒軟體都被設計為在 安全模式可安裝、使用、執行殺毒處理。

在 安全模式(Safe Mode)或者純DOS下進行清除清除時，對於現在大多數流行的病毒，如蠕蟲病毒、木馬程序和網頁代碼病毒等，都可以在 安全模式下 在DOS下殺毒(建議用干凈軟盤啟動殺毒)。而且，當計算機原來就感染了病毒，那就更需要在安裝反病毒軟體後(升級到最新的病毒庫)

2 、帶毒文件在Temporary Internet Files目錄下

由於這個目錄下的文件，Windows 會對此有一定的保護作用，所以對這個目錄下的帶毒文件即使在 安全模式下也不能進行清除，對於這種情況，請先關閉其他一些程序軟體，然後打開 IE ，選擇IE工具欄中的 " 工具""Internet 選項 "，選擇 " 刪除文件 " 刪除即可，如果有提示" 刪除所有離線內容 "，也請選上一並刪除。

3 、帶毒文件在 \_Restore 目錄下，*.cpy 文件中

這是系統還原存放還原文件的目錄，只有在裝了Windows Me/XP *作系統上才會有這個目錄，由於系統對這個目錄有保護作用。

對於這種情況需要先取消" 系統還原 " 功能，然後將帶毒文件刪除，甚至將整個目錄刪除也是可以的。

4 、帶毒文件在.rar 、.zip 、.cab 等壓縮文件中

對於絕大多數的反病毒軟體來說，現在的查殺壓縮文件中病毒的功能已經基本完善了，單是對於一些特殊類型的壓縮文件或者加了密碼保護的壓縮文件就可能直接清除了。

要清除壓縮文件中的病毒，建議解壓縮後清除，或者藉助壓縮工具軟體的外掛殺毒程序的功能，對帶毒的壓縮文件進行殺毒。

5 、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中

這種病毒一般是引導區病毒，報告的病毒名稱一般帶有 boot 、 wyx 等字樣。如果病毒只是存在於移動存儲設備(如軟盤、快閃記憶體檔、移動硬碟)上，就可以藉助本地硬碟上的反病毒軟體直接進行查殺;

如果這種病毒是在硬碟上，則需要用干凈的可引導盤啟動進行查殺。 對於這類病毒建議用干凈軟盤啟動進行查殺，不過在查殺之前一定要備份原來的引導區，特別是原來裝有別的*作系統的情況，如日文Windows 、Linux 等。 如果沒有干凈的可引導盤，則可使用下面的方法進行應急殺毒：

(1) 在別的計算機上做一張干凈的可引導盤，此引導盤可以在Windows 95/98/ME 系統上通過 " 添加/刪除程序 " 進行製作，但要注意的是，製作軟盤的*作系統須和自己所使用的*作系統相同;

(2) 用這張軟盤引導啟動帶毒的計算機，然後運行以下命令：

A:>fdisk/mbr

A:>sys a: c:

針對 NT 構架的*作系統可首先安裝“管理員控制台”，安裝後使用管理員控制台，然後分別執行 fixmbr (恢復主引導記錄)和 fixboot (恢復啟動盤上的引導區)命令對引導區及啟動信息進行修復。

如果帶毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那麼直接刪除即可。這是系統在安裝的時候對硬碟引導區做的一個備份文件，一般作用不大，病毒在其中已經不起作用了。

6 、帶毒文件在一些郵件文件中，如 dbx 、 eml 、 box 等

絕大多數的防毒軟體可以直接檢查這些郵件文件中的文件是否帶毒，對於郵箱中的帶毒的信件，可以根據用戶的設置殺毒或刪除帶毒郵件，但是由於此類郵箱的復合文件結構，易出現殺毒後的郵箱依舊可以檢測到病毒情況，這是由於沒有壓縮郵箱進行空間釋放的原因導致的，您可以嘗試在 Outlook Express 中選擇“工具” — 〉“選項” — 〉“維護” — 〉“立即清除” — 〉“壓縮”

7 、文件中有病毒的殘留代碼

這種情況比較多見的就是帶有 CIH 、Funlove 、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文檔中的宏病毒)和個別網頁病毒的殘留代碼，通常防毒軟體對這些帶有病毒殘留代碼的文件報告的病毒名稱後綴通常是 int 、 app 等結尾，而且並不常見，如 W32/FunLove.app 、W32.Funlove.int 。一般情況下，這些殘留的代碼不會影響正常程序的運行，也不會傳染，如果需要徹底清除的話，要根據各個病毒的實際情況進行清除。