没有外部工具-如何快速发现Windows中毒了 (没有外部工具怎么解决)

从事应急响应工作几年之后，我认为总结一份快速确定计算机是否被感染木马和病毒的“方法论”是十分有用的。这显然不是那么简单的，可我却发现感染几乎存在于所有不复杂的攻击中，如果你执行了以下检测，便可发现存在感染并快速杀掉它。所有这些事情都可以由一个建立于Windows命令行功能的管理员命令提示符完成。

1、WMIC 启动项(WMIC Startup Items)

Windows已经有一个非常强大的工具——WMIC，在以下几种方式中较容易为你的调查建立启动项。只需打开一个命令提示符，然后输入【wmic startup list full】。这是一个真实的例子，猜一下哪个项目不属于其中，会是本地\临时文件夹吗?是的。如果你知道应该在列表中的东西以及一般正常运行的位置，你就能在这里暂停，通常这都非常简单。找到程序，然后在malwr.com或者VirusTotal上查找它的散列，看看它有没有感染了其他什么，然后删除。

2、DNS 缓存(DNS Cache)

打开命令提示符，并输入【ipconfig/displaydns】。看看这些待反测的区域，有没有任何的异常现场?在VirusTotal或者其他地方寻找他们解析的域名及IP，看是否有与之相连的样本。如果有，那么你肯定被感染了。这里有一个现成的例子：

3、WMIC 进程列表(WMIC Process List)

这是WMIC另一个受欢迎的项目，输入【wmic process list full|more】，或者更紧凑但是更长的输出【wmic process get deScription,processed,parentprocessid,commanline/format:csv.】。寻找在奇怪地方运行的东西或者恶意、随机、名称怪怪的程序。

4、WMIC 服务列表(WMIC Service List)

如果你不清楚自己在寻找什么，那这个用起来可能比较困难。但是检测方便并且容易通过路径或者exe名称发现恶意软件。格式与其他的相似，或者你也可以得到更具体“get”版本。输入【wmic service list full| more】或者【wmic service get name,processid,startmode,state,status,pathname /format:csv】。这里有个小例子展示了只有服务名称和路径的情况。

5、WMIC 工作列表(WMIC Job List)

这是个看起来最不可能发现任何东西的项目，因为绝大多数恶意软件都不用jobs，但是在例如MPlug的一些版本中，是很容易检测出的。输入【wmic job list full】，你能够获得一个【没有可用实例】的回执，这就意味着没有已安排的项目在执行。

莫忘记基础，如果IP是谷歌或者stealyourbanknumber.su.【netstat -abno】的，输出可能需要搜索来查看，即使这样可以还是寻找奇异的外部站点端口号码，如25、8080、6667等等。

Netstat控制如下：

-a 显示所有连接和监听端口

-b 显示参与创建每个连接或者监听端口的可执行文件

-n 以数字形式显示地址和端口号码

-o 显示拥有的每个与链接相关的进程ID

7、批处理文件版本

用一种简单可重复的方式完成这些WMIC东西并生成一份报告，怎么样呢?我已经有了。把东西都丢到一个批处理文件中，然后设置一个主机名参数，你甚至能够在全网中使用它——获得其他计算机的适当权限，方便进行远程评估。

这个脚本可以让你更清楚的了解HTML格式的输出，其中包括了你从电脑中获取的信息：

怎样看电脑有无中毒

怎样看电脑有无中毒 特征给系统经常打补丁,好多病毒都是从系统漏洞中侵入的哦,还要经常扫描下木马病毒,主杀毒软件用卡或瑞星,辅助的用360安全卫士,windows清理助手,不要上小网站,还要注意移动设备,安装防火墙,配置好的规则,这样很大程度上减少中病毒的机会,也减少被盗号的危险,这才是防止的正道哦防治木马的危害，应该采取以下措施：第一，安装杀毒软件和个人防火墙，并及时升级。 第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。 第三，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 第四，如果使用IE浏览器，应该安装卡卡安全助手，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。

怎样查找木马病毒

首先是查看开放端口，作为远程控制软件，木马同样具备远程控制软件的特征。 为了与其主人联系，它必须给自己开道门(即端口)，因此我们可以通过查看机器开放的端口，来判断是否有木马经过。 通过上面说到的netstat -an命令即可，其中“ESTABLISHED”表示已经建立连接的端口“LISTENING”表示打开并等待别人连接的端口。 在打开端口中寻找可疑分子，如7626(冰河木马)，(Back Orifice 2000)等。 然后查看注册表，为了实现随系统启动等功能，木马都会对注册表进行修改，我们可以通过查看注册表来寻找木马的痕迹，在“运行”中输入“regedit”，回车后打开注册表编辑器，定位到：HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer下，分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键，检查里边是否有可疑的内容。 再定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer下，分别查看上述5个子键中的内容。 一旦在里边找到你不认识的程序，就要提高警惕了。 再查看系统配置文件，很多木马文件都会修改系统文件，而和文件则是被修改最频繁的两个软件。 我们需要对其进行定期体检。 在“运行”中输入“%systemroot%”，回车后会打开“Windows”文件夹，找到里边的文件，在里边搜索“windows”字段，如果找到形如“load=，run=”这样的语句(为木马程序名)，就要格外小心了，这很可能是木马的主程序。 类似的，在文件中搜索“Boot”字段，找到里边的“Shell=”，默认应为“Shell=”，如果是其他程序则也可能是中了木马。 除此之外，你还可以通过查看系统进程和使用专用木马检测软件的方法，来推断系统中是否存在木马。

怎样通过任务管理器来看电脑有没有中毒？

用任务管理器不行，告诉你几个好办法，金山清理专家这个软件有个功能是：进程管理， windows 优化大师也有进程管理，超级兔子，360安全卫士都有进程项目管理，你可以通过进程后面的软件路径判断啊。 除了系统进程不能结束外，在了解常用软件的路径，病毒木马一看就知道。