三个小命令 检查电脑是否被安装木马

一、检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an -o命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local aDDRess(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

在看下面的内容之前，先看看：教你认清网络特殊用途IP地址

1.我们通过：开始·运行·输入cmd·输入netstat -an -o（注意空格）可以看见如图：

2.我给大家介绍关于它的具体意思：

例如：TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860

proto(连接方式)指：协议类型，主要含tcp，udp

local address(本地连接地址)：因为我的本地ip是192.168.0.56所以就是他了。2150是你电脑所开的端口。

foreign address(和本地建立连接的地址)指：入侵电脑的ip地址（当你访问一些网站，网站中的每个内容比如图片、flash等都要单独建立一个连接，也会连接你的电脑。说入侵电脑不是很恰当。例如：访问百度：可能出现：TCP 192.168.0.56:1045 202.108.250.249:80 ESTABLISHED）221.130.44.194它跟我连上的。8080：它是以8080端口给我发起的连接。

state(当前端口状态)：如：

TIME_WAIT:的意思是结束了这次连接（例如：如果浏览网页完毕，那就变为TIME_WAIT 状态）

LISTENING:正在监听只有tcp端口才可以这样(如果是udp的话,那么肯定是木马) 端口为开放。

ESTABLISHED:正在共享,表示两者连接着

CLOSE_W AIT:连接并没有正确关闭依然是处于等待应用程序等待关闭(CLOSE_W AIT)的情况中如果一直都处于CLOSE_WAIT状态,有可能是应用程序异常退出并且没有恰当地处理这个异常

SYN_SENT：表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多SYN_SENT的原因。

对于其他的状态你可以在百度搜索一下就ok了。

pid（会话）接下来将讲到。

3.我们主要是看状态和pid，主要注意ESTABLISHED状态。因为他表示是跟我们的电脑已经连上。

当为ESTABLISHED状态并不一定是木马。上面我也说了如访问百度。

分析：

我们要辨别是否是木马。还得用一个命令：tasklist

开始·运行·输入cmd·输入tasklist得到如图：

其实它显示的是进程信息。

例如：

TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860

我们现在只注意pid，我们可以看出它的pid为2860.然后在tasklist

命令下找到pid为2860的进程。如我的：

FetionVM.exe 2860 0 71,804 K

我就知道是以FetionVM.exe （飞信进程）跟我电脑相连。当然我们知道它是飞信进程（安全进程）。所以我们就不用担心了。当我们不知道进程是什么意思时，在百度查查就ok了。未知进程就要注意了，可能是木马进程。

二、禁用不明服务

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，

比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“开始·运行·输入cmd·输入net start”来查看服务，再用“net stop server”来禁止服务。

禁用服务方法：开始·运行·输入msconfig

进入服务管理器方法：在“开始·运行·输入services.msc，也可以从“控制面版－管理工具－服务”打开服务管理器。可以进行服务修改。

这个我就不细说了：大家可以参考：服务详解。问题就可以解决了。

mao617996479 于2008-08-29 11:28:26 编辑过该帖

我为人人想，不知道人人为我想没？呵呵。我现在好喜欢适者生存，不适者淘汰。这句话了。

三、轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del（注意空格）”来删掉这个用户吧!

在往下继续看的时侯请大家先看：用户权限介绍及不能共享的原因

1.当我们输入：开始·运行·输入cmd·输入net user可以得到如图：

我的出现：mk（我的）等于Administrator（管理员权限）Guest（来宾用户）HelpAssistant （远程桌面助手）出现这三个正常。出现其他的用户就要注意了。

当命令删除不了用户时。我就只有手动删除。

方法：点击我的电脑右键·管理·本地用户和组·用户。

我们就可以看见用命令所看到的用户。在用户名上右键·删除即可。

1个简单的批处理让你的电脑免疫所有木马病毒

1个简单的批处理让你的电脑免疫所有木马病毒 为了编写这这个批处理程序，本人整整研究了1个多星期，终于完成了，给大家分享。不发附件，因为下载要钱的，我要的是让大家都可以免费获得这个好程序。我把原代码发上来！ 觉得的好的，只需要帮我顶下帖子就行！谢谢！！ @echo off color 0a echo ****************************************************************************** echo * * echo * 现在进行机器狗免疫 * echo * * echo ****************************************************************************** md C:\WINDOWS\system32\wxptdi.sys 2>nul md C:\WINDOWS\system32\wxptdi.sys\1..\ 2>nul md C:\WINDOWS\system32\fat32.sys 2>nul md C:\WINDOWS\system32\fat32.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\ati32srv.sys 2>nul md C:\WINDOWS\system32\drivers\ati32srv.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcibus.sys 2>nul md C:\WINDOWS\system32\drivers\pcibus.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcidisk.sys 2>nul md C:\WINDOWS\system32\drivers\pcidisk.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcihdd.sys 2>nul md C:\WINDOWS\system32\drivers\pcihdd.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\phy.sys 2>nul md C:\WINDOWS\system32\drivers\phy.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pop.sys 2>nul md C:\WINDOWS\system32\drivers\pop.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\puid.sys 2>nul md C:\WINDOWS\system32\drivers\puid.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\usb32k.sys 2>nul md C:\WINDOWS\system32\drivers\usb32k.sys\1..\ 2>nul md C:\WINDOWS\system32\2dogkiller.sys 2>nul md C:\WINDOWS\system32\2dogkiller.sys\1..\ 2>nul attrib C:\WINDOWS\system32\wxptdi.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\fat32.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\ati32srv.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\ati32srv.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\pcidisk.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\pcihdd.sys +s +h +r +a 2>nul

教你如何手动查杀电脑中的木马

教你如何手动查杀电脑中的木马 首先要知道木马的种类，木马是属于病毒的一种，他起的作用其实就是类似于间谍的功能。木马从诞生到现在已经有很多的种类，而且到现在的木马往往不会是单一的功能。 但想去查杀一个木马首先必须知道木马的种类。 1、破坏删除型 这类的木马的功能就是删除计算机里的文件：如 DLL、EXE、INI类型的文件。它就像一个定时炸弹，只要黑客一激活，那么他就开始肆意的破坏，而且一点不比病毒 差。 2、远程控制型 这类木马就是在你计算机内注入一个客户端程序，可以让服务端的人完全控制他人机器，监视屏幕动作，查看计算机磁盘内任何文件，可以进行任何操作，包括关机、重起。这类木马是数量最多，危害最大的。冰河、广外女生、灰鸽子都是国内知名的远 程控制木马 3、密码发送型 前段时间在我们论坛官员飞火身上发生的盗号事件，我看来就是这类木马在捣鬼。这类木马只要一开始运行，就开始自动搜索内存、Cache文件以及各类文件，一旦搜索到有用的密码，就自动将密码发送到预先指定好的QQ邮箱中去。 4、键盘记录型 在传奇这一大网络游戏盛行的前两年，也是键盘记录木马盛行的几年。不过这类木马是非常简单的，顾名思义他们只进行记录受害者的键盘敲击并且在LOG文件里查找密码。只要你在键盘上输入什么一木马都能记录下来，像QQ阿拉大盗、传奇木马都 是属于这一类型的。 5、DOS攻击型 DOS木马不是用来破坏被注入的机子，而是借用这台被注入的机子去攻击另外的机子有点类似于传销，不停的给自己发展“下线”。给网络造成堵塞。 6、代理型 木马为了隐藏自己，就给被注入的机子种上代理木马，让他成为攻击的跳板去间 接的攻击别人。 7、FTP型 这类的木马和网页木马一样，打开着21端口，等待着别人来连接。只要一连接上

三个命令检测电脑中是否中了木马

些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。 一、检测网络连接 如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。 具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local aDDRess(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。 二、禁用不明服务 很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。 方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。 三、轻松检查账户 很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。 为了避免这种情况，可以用很简单的方法对账户进行检测。 首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧! 联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。

木马的危害

木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、盗窃密码、 甚至用你的QQ发一些乱七八糟的东西给你的好友…… 木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。 毫不夸张地说：木马就是从网线上走进你家里的小偷强盗。防杀木马，已成为现代电脑用户的必修课。 2.原理： 木马危害，虽然手段繁多，但是万变不离其宗，其中必需的步骤是在你的系统里建立管理员用户。本文就是从这一环节入手，阻止木马建立用户。这样，即便你的电脑已经感染了木马病毒，但是由于不能建立用户，木马就不能发挥远程控制的功能。换句话说，就是废了它，让他变成垃圾。当然，垃圾也需要清理，但这已经不在本文的讨论范围之内了。 3.方法： 运行regedt32.exe 打开你的注册表，里面有一个目录树： 打开其中目录HKEY_LOCAL_MACHINE 再打开其中目录SAM 再打开其中目录SAM 再打开其中目录Domains 再打开其中目录Account 再打开其中目录Groups 好了，就是这个Groups 就是负责建立用户的。删掉它，系统就不能建立用户了。无论木马怎样折腾，都无法建立用户，更谈不上提升为管理员了。这个目录里的文件如果被删除，是没有办法还原的。所以，在这个操作之前，你必须要进行备份，必要的时候，可以还原。备份方法：右键点击Groups 选择“导出”，给导出的文件起个名字，保存好，就可以了。 4.说明： 可能你进入注册表的时候，只能看到第一个SAM 目录，其他的都看不到。别着急，那是因为你权限不够，右键点击相应目录选择“权限”，把你自己（通常是Administrators ）设置为“允许完全控制”就可以了。以此类推，一直找到Groups 目录为止。 5.还原： 很简单，找到你导出的那的文件，直接点击就可以了。 由于删除Groups 目录之后，你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能，因此，备份文件很重要。需要使用相应功能的时候，先还原一下，就跟以前一样了。当然，如果你是一个个人用户，一直都是你一个人使用这台计算机，那就无所谓了。 本文来自猴岛游戏论坛：https://www.wendangku.net/doc/0b547662.html,/r5829557_u7120842/

介绍一下木马病毒的种类

介绍一下木马病毒的种类 随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。2. 网银木马网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技

术干扰网银登录安全控件的运行。随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。3. 即时通讯软件木马现在，国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种：一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网址，其主要功能是盗取传奇游戏的帐号和密码。二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，或将帐号卖掉。三、传播自身型。2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播，感染用户数量极大，在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析，发送文件类的QQ蠕虫是以前发送消息类QQ 木马的进化，采用的基本技术都是搜寻到聊天窗口后，对聊天窗口进行控制，来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。4. 网页点击类木马网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作

常见100种木马排除方法

常见100种木马排除方法！ 1.Acid Battery 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。 重新启动。 2.Acid Shiver 重新启动到MSDOS方式 删除C:\windows\MSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。 3.Ambush 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = "zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。 4.AOL Trojan 启动到MSDOS方式 删除C:\ command.exe（删除前取消文件的隐含属性） 注意：不要删除真的https://www.wendangku.net/doc/0b547662.html,文件。 删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性） 删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性） 打开WIN.INI文件

怎么知道电脑有没被检查电脑有没被黑客木马入侵

怎么知道电脑有没被检查电脑有没被黑客木马入侵？ 平时使用电脑的时候也许会遇到这样的情况：计算机突然死机，有时又自动重新启动，无端端的少了些文件，发现桌面刷新慢，没有运行什么大的程序，硬盘却在拼命的读写，系统也莫明其妙地对软驱进行搜索，杀毒软件和防火墙报警，发现系统的速度越来越慢，这时候你就要小心了。 怎么知道电脑有没被检查电脑有没被黑客木马入侵 第一时间反应（养成一个好的习惯往碗可以减少所受的损失）：用CTRL＋ALT＋DEL 调出任务表，查看有什么程序在运行，如发现陌生的程序就要多加注意，一般来说，凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响（注意：这里说的是基本运行，先和大家说明白，关于这条我是在网络上关于这个研究的结果），所以大家可以关闭一些可疑的程序来看看，发现一些不正常的情况恢复了正常，那么就可以初步确定是中了木马了，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多，这也是一种可疑的现象也要特别注意，你这时是在连入Internet网或是局域网后才发现这些现象的话，不要怀疑，动手查看一下吧！ 注：也有可能是其它一些病毒在作怪。 1、先升级杀毒软件到最新，对系统进行全面的检查扫描。 2、点击工具→文件夹选项→查看把隐藏受保护的操作系统文件（推荐）和隐藏已知文件类型的扩展名这两项前面的勾去掉，以方便查看。 3、查看Windows目录下的WIN.INI文件中开头的几行：[WINDOWS]load=ren=这里放的是启动Windows自动执行的程序，可以看看对比对比一下。 4、查看Windows目录下的SYSTEM.INI文件中的这几行：[386Enh]device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径，如：device=c： \windows\system32\***陌生的东西.exe（这里只是打个比方）。 5、查看开始菜单中的「程序」→「启动」。这里放的也是启动Windows自动执行的程序，如果有的话，它就放在C：\Windows\StartMenu\Programs\中，将它保存在较安全的地方后再删除，需要恢复时在拿出来恢复即可。

教你查杀电脑木马病毒

电脑病毒对电脑的危害是极大的，并且随着网络的普及，电脑病毒的传播速度非常快，下面将介绍电脑病毒的相关知识点，让网友们了解病毒与木马程序，能更好防范电脑病毒做好准备。 电脑病毒与木马程序 要防范电脑病毒与木马，首先要知道什么是电脑病毒与木马程序的基本概念。 1、什么是电脑病毒 电脑病毒是一种程序，实质是是指编制或在电脑程序中插入破坏电脑功能、数据、影响电脑正常工作并能自我复制的一组电脑指令或程序代码。它们和生物病毒一样，具有复制和传播能力。电脑病毒不是独立存在的，而是寄生在其他可执行程序中，具有很强的隐藏性和破坏性，一旦工作环境达到病毒发作的要求，便会影响电脑正常工作，甚至使整个电脑系统瘫痪。 2、什么是木马程序 木马程序是一种恶意的远程控制程序，能够控制或操纵远程电脑，由本地和远程两部分程序组成。该类程序一般通过电子邮件传送或冒充可下载文件，用户只要下载此程序到电脑中，程序就会自动运行并对注册表或者启动文件进行修改，而电脑进入网络，黑客可以对电脑进行远程控制、随意查看、修改、复制或删除电脑中的文件，甚至使电脑重启或关闭。3、如何判断电脑病毒与木马 无论是病毒和木刀采用了多隐蔽技术，我们都能从进程中找到蛛丝马迹。因此，查看系统中活动的进程成为检测电脑病毒和木马最直接的方法。 当确定系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不到异样的进程时，这说明病毒采用了一些隐蔽措施，主要分为以下两种情况。 a、以假乱真：系统中的正常进程有svchost.exe、explorer.exe、iexpore.exe、winlogon.exe等，如果发现存在：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe类似的进程时，这说明病毒已经存在了。通常，病毒会将系统中正常进程名的o改为0,l改为i，i改为j,仅仅一字之差；或者变多一个字母或者少一个字母，来迷惑用户。 b、偷梁换柱：利用“任务管理器”无法查看进程对应可执行文件这一缺陷，病毒可以将自身复制到C:\WINDOWS\目录下，并改名为svchost.exe（正常的svchost.exet进程应对的可执行文件位于C:\WINDOWS\System32目录下），这样我们在“任务管理器”窗口中看到的进程名也是svchost.exe，和正常的系统进程名一样的。 4、作用金山毒霸系统查杀病毒 电脑病毒重在防范，安装好金山毒霸系统并升级最新后可按照软件操作说明进行查杀病毒。 5、可使用360安全卫士查杀木马 木马是一种基于远程控制的黑客工具，相对于病毒而言，木马不容易被清除。 a、单击“360安全卫士”软件里的“杀木马”按钮。 单击选择扫描方式，在这里单击“全盘扫描”。

黑客木马入侵个人电脑的方法

黑客木马入侵个人电脑的方法 要想使自己的电脑安全，就好扎好自己的篱笆，看好自己的门，电脑也有自己的门，我们叫它端口。 你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。 如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出TCP/IP 协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。 当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑的。 黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入 你的个人电脑的。 如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。 除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电 脑。 如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。 举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netsp y.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.e xe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的73 06端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。 特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。 接下来，奇奇就让你利用软件如何发现自己电脑中的木马。 奇奇再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中netspy.exe，只要敲敲7306这扇“门”就可以了。 你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址 是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入http://10.10.10. 10:7306/，如果浏览器告诉你连接不上，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的netspy.exe的版本，那么你的电脑中了netspy.exe木马了。

电脑中是否已被安装了木马的简单检测方法

电脑中是否已被安装了木马的简单检测方法 2009年07月10日星期五 15:06 众所周知，木马从来都以它的隐蔽性让人防不胜防，更不易让人察觉的。对于刚刚接触电脑不久的人来说，尤其是当手头上还没有完善的工具来检测它们的时候。其实，我们不妨可以先用一些基本的命令就可以查出电脑是否中了木马，这样可以在保护网络安全上起到很大的作用。现在，笔者就教给大家三个简单的检测方法。 一、检测网络连接 如果我们怀疑自己的电脑上可能已经被别人安装了木马，或者是中了病毒，但是到底是不是真有这样的事情发生呢？这时我们完全可以使用Windows自带的网络命令来看看都有谁目前在连接我们的计算机。方法就是在命令行下输入“netstat -an”这个命令就能看到所有和本地计算机建立连接的IP，当我们运行这个命令后，DOS窗口内显示出来的内容主要包含以下四个部分:Proto(连接方式)、Local Address(本地连接地址)、Foreign Address(和本地建立连接的地址)、State(当前端口状态)。其中State(当前端口状态)下面一般显示有:LISTENING(侦听或监听)、ESTABLISHED(已连接)、CLOSE_WAIT(关闭等待)、TIME_WAIT(时间等待)、SYN_SENT(同步传送)、LAST_ACK(最后确认)。通过“netstat -an”这个命令所显示出来的详细信息，我们就可以完全监控电脑上的所有和本地计算机建立连接的IP，让我们看到目前都有谁在连接我们的计算机，具体哪些是我们自己开启的连接，哪些是我们不请自来而非法访问的，从而来达到安全控制计算机的目的。

二、停用不明服务 当我们在某一天系统重新启动后，却突然发现电脑速度明显变慢了，不管怎么优化都还是慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵我们的计算机后给开放了特别的某种服务，比如IIS 信息服务等，这样我们的杀毒软件是查不出来的。但是我们先别着急，可以通过“net start”这个命令来查看系统中究竟都有哪些服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地来停止这个服务了。方法就是在命令行下输入“net start”这个命令来查看服务，譬如，我们发现其中有个“Messenger”并不是我们自己所开启的服务，这时我们就用“net stop Messenger”这个命令来停止此项服务。希望大家以此类推并能够举一反三的去操作。 三、轻松检查账户 恶意的攻击者非常喜欢使用克隆账号的方法来控制我们的电脑，他们采用的方法就是激活一个系统中的默认账户，但这个账户是我们不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制我们的计算机。为了避免这种情况，我们可以用很简单的方法对电脑中的账户进行检测。 首先在命令行下输入“net user”这个命令来查看计算机上都有些什么用户，然后再使用“net user Name”这个命令来具体查看这个用户是属于什么权限的，一般除了Administrator是Administrators

如何防止电脑病毒木马攻击电脑系统

如何防止电脑病毒木马攻击电脑系统 木马程序经常攻击我们的电脑，让我们防不胜防，那么我们要怎么做到防止电脑病毒木马攻击我们的电脑系统呢?下面由小编给你做出详细的防止电脑病毒木马攻击电脑系统方法介绍!希望对你有帮助! 防止电脑病毒木马攻击电脑系统方法: 木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了! 随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来(在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT

的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。 要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL 文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。 因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。

介绍一下常见的木马种类

资料来源：中国教育在线 https://www.wendangku.net/doc/0b547662.html,/ 资料来源：中国教育在线 https://www.wendangku.net/doc/0b547662.html,/ 目前常见的木马有三种：正向连接木马、反弹连接木马、收信木马。 正向连接木马，所谓正向，就是在中马者在机器上开个端口，而我们去连接他的端口。而我们要知道他的IP ，才能够连接他。123就是他机器上开的端口。 由于到现在，宽带上网(动态IP)和路由器的普遍，这个软件就有很大的不足。 动态IP ：每次拨号，IP 都会跟换.所以，就算对方中了木马，在下次拨号的时候，我们会因为找不到IP 而丢肉鸡。 路由器：就是多个电脑同用1条宽带(网吧上网就是最好的例子)他们通过路由器连接到宽带，例如：主机的IP 为225.124.3.41，而内网(就是用路由器的机器)的IP 为192.168.X.X 。在内网环境下，我们外界是无法访问的，就是机器中了木马也没用。下面大家看下我的示意图。简单来说，内网的机器是比较安全的，外界是无法访问的，就是我们连接不了内网器。而连接内网的机器，除非在同区域网里(在网吧A 机，就能用RIDMIN 连接网吧的B 机). 简单总结：在不同区域网下，正向木马只能连接到外网的机器，而不能连接到内网的机器。 由于一系列的不足，就产生了反弹连接木马，例如出门的国产软件：灰鸽子 反弹连接木马，就是在我们机器上开启一个端口，让中马者来连接我们，从而获得肉鸡的信息，就算对方的IP 怎么改变，也是无际于事。如果我们自己机器上的IP 改变了，肉鸡就无法找到我们的机器，从而无法获得肉鸡的信息，不过这点是不成问题的，WWW 兴起，就有了域名。在网络中通过的对域名的访问能找到自己对应的IP 地址，例如https://www.wendangku.net/doc/0b547662.html, 的IP 地址为22.181.38.4 如果百度的IP 变成12.11.22.3的话，只要域名不改变，就算IP 地址怎么变，它也能找到你。就算是内网的机器，我们也能获得他的信息。 总结到底：本地开启1个端口，肉鸡连接上我们，就算是内外网的机器也可以。 反弹连接木马最头疼的地方就是使用者是内网状态的(大家可以看我的路线图，蓝色为反弹连接，黑色为正常连接)。说到为什么最头疼，大家就回忆下正向连接木马的原理。别人是无法直接访问路由器内的机器(内网)。

一招废掉电脑里所有木马病毒

一招废掉电脑里所有木马病毒 1.前言： 木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人(控制端)就可以进入你的电脑，偷看你的文件、盗窃密码、甚至用你的QQ发一些乱七八糟的东西给你的好友…… 木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。 正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。 毫不夸张地说：木马就是从网线上走进你家里的小偷强盗。防杀木马，已成为现代电脑用户的必修课。 2.原理： 木马危害，虽然手段繁多，但是万变不离其宗，其中必需的步骤是在你的系统里建立管理员用户。本文就是从这一环节入手，阻止木马建立用户。这样，即便你的电脑已经感染了木马病毒，但是由于不能建立用户，木马就不能发挥远程控制的功能。换句话说，就是废了它，让他变成垃圾。当然，垃圾也需要清理，但这已经不在本文的讨论范围之内了。 3.方法：

运行 regedt32.exe打开你的注册表，里面有一个目录树： 打开其中目录 HKEY_LOCAL_MACHINE 再打开其中目录 SAM 再打开其中目录 SAM 再打开其中目录 Domains 再打开其中目录 Account 再打开其中目录 Groups 好了，就是这个 Groups就是负责建立用户的。删掉它，系统就不能建立用户了。无论木马怎样折腾，都无法建立用户，更谈不上提升为管理员了。这个目录里的文件如果被删除，是没有办法还原的。所以，在这个操作之前，你必须要进行备份，必要的时候，可以还原。 备份方法：右键点击 Groups选择“导出”，给导出的文件起个名字，保存好，就可以了。 4.说明： 可能你进入注册表的时候，只能看到第一个 SAM目录，其他的都看不到。别着急，那是因为你权限不够，右键点击相应目录选择“权限”，把你自己(通常是Administrators)设置为“允许完全控制”就可以了。以此类推，一直找到 Groups 目录为止。 5.还原： 很简单，找到你导出的那的文件，直接点击就可以了。 由于删除 Groups目录之后，你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能，因此，备份文件很重要。需要使用相应功能的时候，先还原一下，就跟以前一样了。当然，如果你是一个个人用户，一直都是你一个人使用这台计算机，那就无所谓了。

木马病毒在windows系统中的几种启动方式

木马病毒在windows系统中的几种启动方式 如果你的电脑中一种新型的木马病毒你能怎么办？特别是一些未知类型的木马病毒，使用一般的杀毒软件或防木马软件是很难将其根除的，这时候我们就需要手动来清除这些病毒文件了。 其实我们只要能破坏这些病毒的启动条件，就可以达到清除病毒的目的，为此，就本人在这方面的一些经验提供给大家，以供参考。 病毒的启动主要分为3类，分别是：一、随windows系统启动，二、映像劫持启动，三、捆绑和嵌入正常程序中启动。下面我们主要就第一和第二点进行详细介绍。 第一部分：Windows自启动程序 一、经典的启动——“启动”文件夹 单击“开始→程序”，你会发现一个“启动”菜单，这就是最经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，如所示，其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下： 当前用户： 所有用户： 二、有名的启动——注册表启动项 注册表是启动程序藏身之处最多的地方，主要有以下几项： 1.Run键 Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run] 和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。 还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run]，也要仔细查看。

怎么样才知道电脑是否中了木马病毒

怎么样才知道电脑是否中了木马病毒 “木马”这种程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务” 可以很轻松地伪装自己。当然它也会悄无声息地启动，你当然不会指望用户每次启动 后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面巅峰电脑网给大家 具体谈谈“木马”是怎样自动加载的。 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－ USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY－ USERS＊＊＊＊SoftwareMicrosoftWindowsCurrentVersionRun”的目录下 都有可能，最好的办法就是在“HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该 是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发 现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

电脑木马病毒查杀方法技巧

电脑木马病毒查杀方法技巧 一阶：菜鸟看,中鸟老鸟也可以看 1、请升级你的杀毒软件到最新版本，保证病毒库是最新的。 2、对于局域网内部用户，在杀毒之前请断掉网络。 3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中，不要选中“染毒文件清除失败后删除此文件”选项。因为经验证明，很多病毒都是内存驻留型，备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。（对于国内的杀毒软件） 4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的，因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。因此，如果碰到杀软在此文件夹中查到病毒，请在系统属性中的系统还原中取消对磁盘的监视，删除还原点即可。（以前我老是强调关闭系统还原的原因，还有就是有的网友问有时杀毒软件走到百分之多少时走不动了，原因也在此。） 5、对于一些正在使用中的文件，系统是不允许删除的，碰到这种情况，请在任务管理器中结束该进程，然后按杀软提示的病毒文件路径进行手动删除，或重新杀毒。（删除文件时删不了有时也因为此） 6、碰到病毒已经清除，但系统重新启动又出现中毒情况的，请确认你所在网络无毒，然后制作dos杀毒盘在dos下查杀。如果网络中毒，请联系网络管理员，断网杀毒。（补充此点：有时系统重新启动又出现中毒是因为你的系统还原是在监视状态，或者是杀毒没有把文件和注册表删除了（朋友用江民是遇到过这样的）

7、在dos下使用dos杀毒伴侣，硬盘修复王时，请备份你的敏感数据和个人文件，并在有经验的人的指导下进行。使用不当，可能造成硬盘数据全部丢失。（此方法用的较少） 中阶：中鸟看——杀毒技巧集锦 有人认为杀毒是一件简单的事情，不就是点击杀毒软件的“杀毒”按钮就行了吗？ 不错，杀毒的确要借助杀毒软件，但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽，有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧！ 对于杀毒的设置本文就不做介绍了。 杀毒要讲环境。其实说真的，杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的！即费时间，有减少DOS杀毒盘的寿命。那么，该怎么判断该在什么环境下杀毒呢？ 一、被激活的非系统文件内的病毒 杀这种病毒很简单，只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。 二、已经被激活或发作的非系统文件内的病毒 如果在一般Windows环境下杀毒，效果可能会大打折扣。虽然，现在的反病毒软件都能查杀内存病毒，但是此技术毕竟还未成熟，不一定能歼灭病毒。

电脑木马病毒查杀方法技巧

电脑木马病毒查杀方法技巧一阶：菜鸟看,中鸟老鸟也可以看 1、请升级你的杀毒软件到最新版本，保证病毒库是最新的。 2、对于局域网内部用户，在杀毒之前请断掉网络。 3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中，不要选中“染毒文件清除失败后删除此文件”选项。因为经验证明，很多病毒都是内存驻留型，备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。（对于国内的杀毒软件） 4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的，因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。因此，如果碰到杀软在此文件夹中查到病毒，请在系统属性中的系统还原中取消对磁盘的监视，删除还原点即可。（以前我老是强调关闭系统还原的原因，还有就是有的网友问有时杀毒软件走到百分之多少时走不动了，原因也在此。） 5、对于一些正在使用中的文件，系统是不允许删除的，碰到这种情况，请在任务管理器中结束该进程，然后按杀软提示的病毒文件路径进行手动删除，或重新杀毒。（删除文件时删不了有时也因为此） 6、碰到病毒已经清除，但系统重新启动又出现中毒情况的，请确认你所在网络无毒，然后制作dos杀毒盘在dos下查杀。如果网络中毒，请联系网络管理员，断网杀毒。（补充此点：有时系统重新启动又出现中毒是因为你的系统还原是在监视状态，或者是杀毒没有把文件和注册表删除了（朋友用江民是遇到过这样的） 7、在dos下使用dos杀毒伴侣，硬盘修复王时，请备份你的敏感数据和个

人文件，并在有经验的人的指导下进行。使用不当，可能造成硬盘数据全部丢失。（此方法用的较少） 中阶：中鸟看——杀毒技巧集锦 有人认为杀毒是一件简单的事情，不就是点击杀毒软件的“杀毒”按钮就行了吗？ 不错，杀毒的确要借助杀毒软件，但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽，有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧！ 对于杀毒的设置本文就不做介绍了。 杀毒要讲环境。其实说真的，杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的！即费时间，有减少DOS杀毒盘的寿命。那么，该怎么判断该在什么环境下杀毒呢？ 一、被激活的非系统文件内的病毒 杀这种病毒很简单，只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。 二、已经被激活或发作的非系统文件内的病毒 如果在一般Windows环境下杀毒，效果可能会大打折扣。虽然，现在的反病毒软件都能查杀内存病毒，但是此技术毕竟还未成熟，不一定能歼灭病毒。 因此，杀此类病毒应在Windows安全模式下进行。在Windows安全模式下，