电脑新手怎样检测电脑病毒(3)
电脑新手怎样检测电脑病毒
注册表启动项
在SRE里面,这册表启动项包括了Winlogon启动,普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了,当然因为每一种系统(盗版方式不同或者正版等等)不同,可能扫描出来的不仅相同,剩下的需要大家经验积累。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[(Verified)Microsoft Corporation](启动输入法)
超级兔子、MSN Messenger等通过此项目启动
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微软输入法启动项)
[(Verified)Microsoft Corporation] (微软输入法启动项)
[(Verified)Microsoft Corporation] (微软输入法启动项)
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[(Verified)Microsoft Corporation]
[(Verified)Microsoft Corporation](Winlogon启动项,逗号后面若有东西90%是病毒)
[(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<> [N/A](初始化动态链接库,若这里面有东西90%是病毒)
以上只进行了概述
启动文件夹
这个最好看,只有部分软件修改这里,典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少,早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。
服务
这个比较好看,第一看服务名称后面的状态,SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态],其中当前运行状态是表示扫描的时候计算机是否运行了此服务,Running表示运行、Stopped表示没有运行;启动状态,表示此服务是如何启动,Auto Start表示自动,Disabled表示已禁用,Manual Start表示手动启动。其中重点看Running和Auto Start的项目,如果此项目和你安装的软件和驱动程序无关,那就可能是病毒。
驱动
我经过5年的杀毒经验,也不敢轻易动这个项目,只能介绍一条经验,就是如果一个驱动全部为数字,可能为病毒文件。因为现在各种品牌的驱动都不一样,所以其他的就记不住了。
鉴于启动项确定比较困难,希望新手在安装计算机后,做一次扫描备份,可以通过对比的方法,来看是否增加了启动项,如果此期间没有安装任何驱动和软件,那么就可能不是正常文件,就要小心的进行检查了。