新華社南京11月8日專電(記者顧燁)最近,為了避免下載微軟的黑屏補丁,許多電腦用戶關閉了系統自動更新,從而給了病毒和黑客們乘虛而入的機會。記者為此採訪了專家,請他介紹了幾個簡單的辦法,自測電腦是否“中毒”或“被黑”。
據360安全專家介紹,首先排查進程,開機後,什麼都不要啟動,直接打開任務管理器,查看有沒有可疑的進程,不認識的進程可以利用搜索引擎搜索。如果任務管理器打開後一閃就消失了,可以判定已經中毒;如果提示已經被管理員禁用,則要引起警惕。接著打開冰刃等軟體,先查看有沒有隱藏進程(冰刃中以紅色標出),然後查看系統進程的路徑是否正確。如果冰刃無法正常使用,可以判定已經中毒;如果有紅色的進程,基本可以判定已經中毒;如果有不在正常目錄的正常系統進程名的進程,也可以判定已經中毒。如果進程全部正常,則利用Wsyscheck等工具,查看是否有可疑進程注入到正常進程中。Wsyscheck會用不同顏色來標注被注入的進程和正常進程,如果有進程被注入,先確定注入的模塊是不是病毒,因為有的殺毒軟體也會注入進程。
進程排查完畢,如果沒有發現異常,則開始排查啟動項。首先,用msconfig查看是否有可疑的服務,點“開始”,按“運行”,輸入“msconfig”,切換到服務選項卡,勾選“隱藏所有Microsoft服務”復選框,然後逐一確認剩下的服務是否正常。如果發現異常,可以判定已經中毒;如果msconfig無法啟動,或者啟動後自動關閉,也可以判定已經中毒。其次,用msconfig查看是否有可疑的自啟動項,切換到“啟動”選項卡,逐一排查就可以了。然後,用Autoruns等,查看更詳細的啟動項信息(包括服務、驅動和自啟動項、IEBHO等信息)。
ADSL用戶,在這個時候可以進行虛擬撥號,連接到互聯網。然後直接用冰刃的網絡連接查看是否有可疑的連接,對於IP地址、對應的進程和端口等信息可以利用搜索引擎搜索。如果發現異常,可關掉系統中可能使用網絡的程序,再次查看網絡連接信息。
另外電腦如果無法進入安全模式,並且出現藍屏等現象,則應該引起警惕,可能是病毒入侵的後遺症,也可能病毒還沒有清除。也可打開註冊表編輯器,定位到HKEYLOCALMACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,查看有沒有可疑的映像劫持項目,如果發現可疑項,很可能已經中毒。
最後一步,如果開機以後,系統運行緩慢,還可以用CPU時間做參考,找到可疑進程,方法如下:打開任務管理器,切換到進程選項卡,在菜單中點“查看”“選擇列”,勾選“CPU時間”,然後確定,單擊CPU時間的標題,進行排序,尋找除了SystemIdleProcess和SYSTEM以外,CPU時間較大的進程,這個進程需要引起警惕。
目前這些辦法足以應付常見的病毒和木馬了,如果其中任意一步發現病毒和木馬,就不用繼續向後排查了。