我想知道怎麼知道自己電腦有沒有被入侵
提問者:o_鏡水丶夢月o | 瀏覽 次 | 提問時間:2016-12-20 | 回答數量:3
察看你的計算機日誌,方法是鼠標右鍵“我的電腦”—管理—選擇事件查看器 ,仔細看看裏麵的安全,看看有誰成功登陸了你的機器,如果發現你的日誌裏什麼都沒有或則很少,最近幾日的日誌突然沒了...
已有3條答案
察看你的計算機日誌,方法是鼠標右鍵“我的電腦”—管理—選擇事件查看器 ,仔細看看裏麵的安全,看看有誰成功登陸了你的機器,如果發現你的日誌裏什麼都沒有或則很少,最近幾日的日誌突然沒了就說明你的機器可能被入侵了。
1.用CTRL+ALT+DEL調出任務管理器,查看有什麼程序在運行,如發現陌生的程序就要多加注意,大家可以關閉一些可疑的程序來看看,如果發現一些不正常的情況恢複了正常,那麼就可以初步確定是中了木馬了,發現有多個名字相同的程序在運行,而且可能會隨時間的增加而增多,這也是一種可疑的現象也要特別注意;
2.在「開始」→「運行」中輸入"MSCONFIG"查看是否有可疑的啟動項;
3.查看注冊表。在「開始」→「運行」中輸入“REGEDIT”。 先對注冊表進行備份,再對注冊表查看HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices和Run項,看看有沒有可疑的程序。
4.在「開始」→「運行」中輸入"CMD"啟動CMD,輸入NETSTAT-AN查看有沒有異常的端口;
5.在Windows目錄下,看看有無一個名為Winstart.bat的文件。這個文件也是與Autoexec.bat類似的一個自動批處理文件,不過,它隻能在Windows工作而不能在DOS下使用。仔細看看有沒有什麼你不知道的驅動程序,把它記錄下來;
6.查看c:\\autoexec.bat與c:\\config.sys,這兩個文件裏有一些係統所需的驅動程序。看看有沒有什麼可疑的驅動程序;
7.右擊「我的電腦」→事件查看器查看安全日誌,看看裏麵有沒有可疑的內容;
8.啟動CMD,然後輸入“NETUSER”看看有沒有可疑的用戶,出現自己不曾設立的用戶,馬上用NETUSER****/DEL把它刪除。
forever丿雨
回答數:11617 | 被采納數:1
2016-12-21 14:32:18
這個問題其實很簡單,你可以通過查看係統日誌,查看進程表有無可疑進程和DOS下查看係統用戶來分析。DOS查看用戶你要進行以下操作:運行--CMD--輸入net user(查看有哪些用戶)--net start (查看開啟了哪些服務)--net user 要刪掉的用戶名 /delete--再輸入一次net user查看用戶名是否還在。如果不行的話選擇安全模式下執行上麵的操作 。如果是發現可以進程,你需要下載一個間諜專家分析那個EXE程序調用哪些DLL,在注冊表下刪除RUN裏的開機運行,再用類似360安全衛士或者超級兔子KILL掉可疑程序的DLL調用文件,並關閉該程序開啟的後台端口即可。