个人电脑中木马或病毒简易自查

PC机中木马或病毒简易自查

一．CMD命令查看可疑账号

net user

如果出现类似下图中hacker账号，不是自己建立的、可疑的账号，基本肯定中木马了。

如果没有可疑账号，但是guest账号无缘无故开启了，查看下guest账号的属性，看下是不是被提升到了administrator权限.

命令net user guest

上图中account active 是no，就是说明guest账号现在没有开启，安全。

如果出现：

Account active 是yes，而且最后第三行Local group Memberships 中有administrators，就说明现在你的机器的来宾账号被人家恶意提权到了管理员权限，“非常危险“。

装杀软，查毒。不放心的可以重装system。

二．查看可疑进程。

怎么看？

简单，就一个个看，一般很弱智的木马或病毒会伪装成非常容易识别的样子，比如1.exe、（一看就是木马）

2.exe 、（一看就是木马）

winLogom.exe 、（windows正常的应该是winlogon.exe）

exploier.exe (windows正常的是explorer.exe)

等等。

因为很少有人没事会去看进程，像我这种每天检查进程的比较少。。

如果觉得吃不准，可以看这个进程旁边的用户名，没有用户名的比较危险，多看看。

如果看到2个很像的，可以试试关掉一个，一般系统进程如果你关掉，它自己会再启动。病毒或木马并不会。

查出可疑进程，95%中招了。装杀软，查杀！！！，推荐一键ghost恢复system.

三．查看可疑系统服务

按住键盘win键+R键，调出运行，输入命令services.msc

我是英文系统，抱歉。。。

查看几个重点服务

（1）。Telnet服务

原因：telnet服务win7系统默认是关闭的，没有开启，如果看到telnet服务是自动开启状态，中招了。中的很大招。telnet服务很危险很危险。

解决：先右键停止服务，改成禁用状态，打开控制面板—》程序与功能（就是删除软件的那个）—》左边有个”打开或关闭windows功能“

确保“telnet服务“和”telnet客户端”2个前面勾被去掉，然后确定，等待windows完成配置。

（2）。打印机服务

中文系统名字：打印机服务

原因：如果你的PC机根本没有连接打印机，而这个服务或者长的像这个服务的服务是”自动开启“状态，恭喜你，你又中招了，而且是大招。

解决：右键停止服务，改成禁用状态。装杀软，查杀。

我以前做的木马基本是模仿打印机服务，因为太像了，有时候自己都分辨不出。

（3）。模仿支付宝的服务

不确定是不是真的支付宝服务，双击服务，看程序路径：

如果程序的路径不是你安装支付宝的路径，恭喜你，中招了。

速度用其他电脑或手机修改支付宝密码，你懂的。

（4）。其他服务名字明显很挫，大小写字母混杂的（windows自己的服务都是首字母大写，其他小写），或者名字没什么破绽，但是旁边服务描述写的简单的一塌糊涂或者没有描述的，基本就是木马或病毒。

解决：右键停止服务，改成禁用状态。装杀软，查杀。

四．cmd查看可疑端口

命令：netstat–an

常见危险端口说明：

21（FTP服务）

80（网页http访问端口）

135（RPC远程过程调用服务）

443（网页https访问端口）

445（共享文件夹、共享打印机服务）

3389（远程桌面服务）

上图中我的几个常见危险端口虽然都开着，而且状态是LISTENING监听状态，但是对应的外部地址是没有的，就是说明没有危险的东西通过这些端口连接着外界。

对比没有联网和联网状态下的2次命令执行后的图，对比下有哪个端口是联网后就自动进入监听状态的。常见的木马用的比较多的端口99、9999、20000、40000、99999、8000（大名鼎鼎灰鸽子木马用的端口）、8001（灰鸽子爱好者用，包括我）、7626（国产第一代木马“冰河“的端口）。

见到类似端口是监听状态，别犹豫了，马上断网，更新病毒库，查杀。或者一键ghost。不要到处流传！

PS：推荐安装免费的Comodo科摩多-防火墙，傻瓜式配置，功能强得一塌糊涂。