本文目录一览:
QQ木马如何查
三、检测木马的存在
知道木马启动运行、工作的原理,我们就可以着手来看看自己的计算机有没有木马存在了。
首先,查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。
1、查看system.ini文件
选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”
,如果不是这样,就可能中了木马了。下图所示为正常时的情况:
2、查看win.ini文件
选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空
3、查看启动组
再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,
极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都
屏蔽掉了
4、查看注册表
由“开始-运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:
“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己
不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的
服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项
“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入
Explorer=“CWINDOW***piorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母
的差别!
通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系统是Windows NT,还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。
当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。
如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
4、其它方法
上网过程中,在进行一些计算机正常使用操作时,发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。
如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:
由“开始-运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示:
显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address
:远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000
),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被
Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非
法连接你计算机的木马客户端。
当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不
到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口
。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI协议):
如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务操作,那么在监听该
端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听状态,很明显是木马造成的。
注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何
网络冲浪软件,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。
如何判断自己的QQ是否中毒?
你好,QQ如果中毒你可以卸载QQ软件,然后重新安装最新版的QQ软件。同时可以使用腾讯电脑管家全面查杀病毒,清理系统。
典型的qq中毒,比如尾巴病毒,自己发送链接 文件等
如何判断病毒,比如打开QQ登录窗口,然后再QQ登陆窗口的密码框那里,右击鼠标右键,如果没有任何反应就说明QQ没有感染木马。反之,要是出现了“粘贴”或“从右向左的阅读顺序”等图标,就要注意了,该QQ很有可能就中了木马。因为正常的QQ密码输入框是禁用右键的,而很多盗号木马程序为了记录用户输入的密码,已破坏了此功能,所以右键点击密码框的时候会出现图标。所以这时我们就要用专业软件来揪出我们计算机里的黑手了,并且重新安装QQ客户端程序。
如果对方的QQ中毒,一般中的都是QQ尾巴,会给其他好友发一些乱七八糟的网站.
这个一般是病毒文件的dll注入了qq的进程,病毒会随qq软件自动启动。
清理方法如下:
第一步:下载“永久免费”的腾讯电脑管家【百度搜索 腾讯电脑管家】 选择官方下载
第二步 安装完以后,打开腾讯电脑管家,点击“快速查杀”电脑诊所
第三步 点击【立即处理】按钮,这个过程如果检测到了qq进程有木马插入,会检测到。根据提示重启。
重启之后,不要打开qq,卸载qq软件,并删除qq文件夹。再用网盾的一键清理扫描一次,然后用杀毒软件全盘查杀。
最后,杀掉病毒后重新安装qq即可解决病毒问题。
祝好运!
建议下载安装腾讯电脑管家,对腾讯产品专业防护,QQ类病毒专杀软件:
我们会尽快为您解决好这个问题。
电脑管家企业平台问答团全体团员祝您生活愉快。
腾讯电脑管家企业平台:
通过QQ接受了一个文件怎么知道是否有病毒?
通过qq接受一个文件,如果是有人恶意投放病毒的话,手机有杀毒软件,会阻止的。如果是朋友或者是上公司发送的文件不可能有病毒的。
怎么知道自己qq有没有中木马病毒
这个其实不用太担心,木马病毒其实是比较大类型的,不是说电脑上的什么什么中了木马病毒,是没有这样的情况的。你用一些杀毒的安全软件什么的,扫扫木马病毒,清理体检一下就好了,如果软件检测出有病毒什么的请及时清理!(提示:体检杀毒完后大多数软件都会提示重启,有两个选择:一、现在重启 二、稍后自己手动重启。最好选择现在重启,不然手动重启也不是会完全排除掉病毒垃圾的!