电脑病毒有很多种,比如隐蔽性、传播性、潜伏性、破坏性等。一旦电脑被病毒感染,天河区惠普售后维修电话电脑可能会出现各种故障、系统文件损坏、个人隐私泄露甚至蓝屏死机等。但是电脑里有这么多文件。我们应该如何识别病毒文件?以下硅基智慧小编教你四种简单识别病毒的方法。
首先,文件名的文件名是第一印象。通过文件名初步判断是否可疑是最直接的方法。之所以放在时间判断的后面,是因为从很多文件中很难对可疑分子进行分类,还是利用时间排序比较方便。
我们常说的随机字母(有时有数字,但很少)组合的文件名是病毒最喜欢的(我发现有些正常软件也有使用这种奇怪组合的习惯,比如雅虎的互联网助手,每次文件名都不一样,动机可疑,猫的驱动程序看似随机组合,但幸运的是,有一些制造商信息可以帮助区分,这将在下一点讨论)。
还有文件名的长度,有的严重超过8位文件名的标准,有的超过10位,应该列为可疑对象,尤其是这些文件名出现在IE插件中。
当然,似乎没有标准说文件名是奇怪的,随机组合的。不熟悉电脑的人可能会认为所有的英文文件名都是奇怪而无意义的排列组合。因此,如果他们真的想依靠文件名来判断,他们仍然需要对系统文件夹下的文件和常规文件有一定的了解,然后才能更好地掌握它们。最初,结合以上时间和其他方法,我们仍然可以找到一些东西。
另一个是假冒正常文件和系统文件的文件名称,这样更容易识别,例如svchost.exe和svch0st.exe,显然,后者是假冒前者,这种欲盖弥彰更容易暴露,前提是你熟悉系统文件的名称。如果你无事可做,打开任务管理器学习。
与文件名相对应,还有服务名、驱动名、登记表启动项目名。相对来说,如果这些项目的名称没有表达一定的含义,那真的是病毒。很少有厂商会不负责任地给自己软件需要的服务、驱动、启动项目起一个无意义、随机组合的名字。如果服务、驱动、启动项目有问题,那么下面使用的文件肯定有问题。
真的没有把握,把文件名(有时候要包括完整的文件路径,不同路径下的同名文件可以不同,这以后再说)、在网上搜索服务名、驱动名、启动名,看看别人怎么说,尤其是找不到的,还有服务、驱动、启动项和文件名(就像网上发现不同的文件对应或者相反的情况),可以列为可疑对象。
位置病毒木马喜欢呆在系统文件夹里,windows、windows/system32、windows/system32//drivers,还有c:/programfiles/internetexplorer/c:/programfiles/internetexplorer/plugin、c:/programfiles/commonfiles/miscrosoftshared,还有临时文件夹和IE缓存。首先,临时文件夹c:/documentsandsettings您的用户名//localsettings/temp和c:/windows/temp必须清理干净,并且可以大胆删除,不管好坏,删除没关系,IE缓存也要清理干净,不要直接进入文件夹删除,而是从IE菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级设置关闭浏览器时自动清空临时文件,这样就省事了。
其他文件夹主要看是否有不应该存在的文件,天河区惠普售后维修电话比如windows文件夹中有哪些瑞星文件(卡卡的文件在那里)。、realplayer的文件,如svchost等,是绝对可疑的。.exe、ctfmon.exe突然出现在windows或其他文件夹中,而不是它们应该在system32中,它们也可以被确定为病毒。当然,我们可以结合以上方法来判断。有时候要看经验。相对来说,文件较少的文件夹更容易判断,更容易发现任何额外的东西,比如windows。、多看看ie文件夹,就知道基本上就是那些,多一两个exe或者dll,马上就能找到。
还有就是结合注册表的启动项目。一般windws引用的启动项目并不多,基本都是输入法和声卡管理,更可疑。当你指出system32时,你应该多看看。你真的不确定。老办法,在网上查文件名。如果发现启动项指向font字体文件夹,那就不要想了。肯定有问题。
服务驱动也是如此,如果不在system32或者driver中,就要多检查一下(自然也要检查一下,更别说不在了)。
除了文件夹的位置,还有注册表的位置,除了RUN的几个启动项目,还有图像劫持(IFEO)如果你想检查,你应该注意那些值得debugger的人。除了最后一个yourimagefilenameherewithoutapath之外,还有一个debuger。=ntsd-d,其他什么都没有,只要发现了,就会被劫持(除了免疫,免疫就是把已知的病毒程序名劫持到不存在的文件上,使其无法运行),然后找到劫持文件,也就是debugger后面的文件,找到后和注册表一起删除。但是需要注意的是,目前的劫持不是使用病毒文件,而是使用系统文件或命令,例如svchost.exe或ntsd-d,不要删除文件,只要删除注册表项就可以了。
还有需要注意的注册表项目有appinit_dlls,一般都是空值(例外,卡卡的一个文件会放在这里)。如果值多了,就是病毒,根据名字找到删除。还有一个是userinit,一般都是空的。如果你修改了很多东西,你应该检查它是否正常。
第三,如果你觉得电脑在文件时间有问题,使用杀毒软件检查后,在没有反映或清除部分病毒后仍然有问题,可以根据文件时间检查可疑对象。
文件时间分为创建时间和修改时间(还有一个访问时间,不用担心)。从文件的属性可以看出,点击文件,右击,选择菜单中的属性,这些时间可以在“常规”页面上看到。
一般情况下,病毒、木马文件的创建时间和修改时间都比较新,如果你早点发现,基本上就是最近几天或者当天。c:/windows和c:/windows/system32,有时还有c:/windows/system32//drivers,如果是2000系统,把上面的windows改成winnt。这些地方是病毒木马经常呆的地方。按时间排序(查看-详细信息,然后点击标题栏上的“修改时间”),查看最新几天的文件,特别注意exe和dll文件,有时还有dat。、ini、cfg文件,但是后面的正常文件也有比较新的修改时间。如果不能确认,先放在一边,重点寻找exe和dll。反正最后三个文件不是执行文件。一般来说,系统文件,尤其是exe和dll,不会有这么新的修改时间。
当然,其他更新或安装的应用程序可能会有新的修改时间,可以比较创建时间。另外,你应该知道你什么时候安装过什么软件。你真的不知道用搜索功能。在整个硬盘上找出是否在相关时间建立了文件夹,看看是否安装了应用程序。只要时间对得起,就很正常。如果不符合要求,那就是病毒。删除它们。
需要注意的是,并不是所有的最新文件都是病毒,也不是所有的病毒时间都是最新的,有些病毒文件的日期甚至会显示几年前。
第四,版本信息检查文件的时间是不确定的。此外,天河区惠普售后维修电话还可以在文件的属性中查看检查项目文件的版本,包括文件版本、制造商信息等。首先要明确的是,并不是所有的文件都有版本信息,也不是所有没有版本信息的文件都是病毒文件,也不是所有显示微软信息的文件都是真正的微软。
