如何查处隐藏在电脑里的病毒和木马？

~ 申明：以下内容全部转载！原作者标在最后
做了几年的网管.遇到问题最多的就是电脑病毒,多数人通病就是遇到厉害的病毒,杀毒软件解决不了的,干脆就重装系统.确实这是个好方法,但你想过没有,如果多学点这方面的技术,5分钟就能搞定的问题,为什么要重装系统呢?
在WINDOW系统下,任何一个程序一定,肯定会有一个进程,病毒也不例外.在进程管理器中看不见,并不代表没得哦.灰鸽子就是靠隐藏进程出名的.先来给大家讲一下病毒的几种表现形式:
第一种.DLL动态链接库注入型木马:
什么是DLL呢？扩展名为.DLL是动态链接库，当某一进程需要实现某一功能时，此功能可能是放在某一动态链接库文件中的，所以，当进程需要使用时就要将动态库文件加载到自己的进程中.一个无进程的木马很有可能就是DLL注入型的,注入的方法可以通过注册表.还可以通过另一个进程，来打开现有的进程，来将DLL注入到被打开的正常进程中，然后，执行注入的进程退出，这样，在进程列表中仍然看不到木马的进程。
查杀方法:
使用工具查看每一个进程加载的模块,发现可疑或者名字特别奇怪的就是病毒注入到正常进程中的DLL,这种DLL注入型病毒通常会通过服务加载到每一个正常的进程中,注入的DLL都是一个文件,删除病毒的DLL文件后,重启电脑就OK了.
第二种.无进程,线程注入型木马
相对于进程,线程就是一个进程中的一个个执行单位。线程注入又是咋回事呢？线程注入，就是木马程序将一个恶意线程放到了正常进程的线程序列中去执行，就像在工厂中多增加了一组自己的工人，这一组工人与其它的正常的几组工人没有什么关系，但却借用了人家的工厂去从事着非法的勾档.
线程注入与DLL注入的区别是，线程注入只是增加了一组工人，这组工人是在以工厂的名义在工作，对外的名义也是工厂的名字，出了问题是由工厂负责的。而DLL注入呢，是外包，可能会增加一组工人也可能会增加多组，是以DLL自己的名义在工厂内工作的，出了问题是由DLL来负责的。当然了，如果问题大了，工厂也会受牵连的.
查杀方法:
相比较起来，查杀线程注入型的木马，就比较困难了，我们上面说了，线程注入的没有自己的文件，只是一段注入的代码。也就是说他只是混入工厂内的一组工人，并没有自己的工厂也没有自己招牌，想把他与正常的工人区分开，是很困难的。同样,也要借助于专门工具,进程占用CPU高的是首先查看的目标,查看线程的时候,基址越大的,就是启动越晚的线程,通常对付线程注入型病毒,要从它的启动源来着手,关键在于阻止病毒向进程中写入代码.
第三种.驱动型木马.
什么是驱动型木马呢?就是全部功能放到了驱动程序中去完成.什么又叫驱动程序呢？驱动程序顾名思义就是驱使设备动起来的程序。其作用是让特殊的硬件和Windows操作系统可以交换数据，比如我们按下了键盘的A键，那键盘驱动就要告诉Windows系统“这家伙按下了A键，你看咋办吧”，它只是告诉一声，后面的工作就由系统来处理了，系统会根据不同的情况进行不同的处理，如果你是在打字，那就把A这个字符显示在你的输入页面中，如果你用的是五笔，显然直接显示个A是不行的，Windows系统就会把你输入A的这个信息转给了输入法程序……最终实现你按A的目的。
为什么要用驱动来完成木马的功能呢?因为在WINDOW中驱动程序是以最高权限在运行,相当于公司的股东或董事的权力,而且进程中是不会显示驱动程序的进程.国产吹得厉害的瑞星和金山等,它们的权力就像公司内部的审记部门,你可以审查和开除公司其它员工,但就是没权力审查或开除公司的股东或董事吧.HEHE.可想而知,病毒一但获得这种权力,就算你知道它是病毒,你也无法清除它了.何况病毒并不傻,有了这种权力我为什么要让你发现呢?我可以利用这种特权悄悄的做我自己想做的事.WINDOW系统下,你装了驱动程序,哪么你就要多一个设备出来吧.HEHE.我们进入设备管理器中可以看到系统所有已经安装的驱动程序,当然也包括木马驱动了,通常木马驱动程序都是安装在"非即插即用驱动程序"这项里面.数目太多判断难度大.
查杀方法:
还是要利用专门的工具,驱动程序都会加载.SYS文件,哪么正常的驱动文件是微软认证或是第三方认证的,排除了这些正常的驱动,剩下的就是可疑驱动程序了,为什么这里不说剩下的就是木马驱动了呢?因为有一些正常的驱动程序,比如说TCPIP.SYS文件,WINXP默认是10个连接数.你修改了系统连接数.哪么这个驱动文件就会有所改变,当然不能通过认证了.
第四种.利用技术手段隐藏进程的木马
上面介绍的都是无进程,只是利用其它进程实现病毒自己的功能.而这种技术型隐藏进程的木马,你无法破解它的隐身方法,看不到它的进程.查杀无从谈起.
WINDOW系统给软件开发人员提供了几种列出系统中所有进程.模块和驱动的方法.最常见的也是最常用的方法就是调用系统API：CreateToolHelp32Snapshot、EnumProcess、EnumProcessModules等,我们调用这几个函数其实就是在告诉系统,我们需要进程列表,然后系统就会按照我们的要求,把列表返回给我们.这几个API接到请求后,调用ZwQuerySystemInformation，接着ZwQuerySystemInformation会调用KiSystemService切入内核进入R0权限，然后自SSDT表中查取得NtQuerySystemInformation的地址，并调用其指向的实际代码，而NtQuerySystemInformation的作用则是自系统的数据结构中取相应的数据，再顺原路返回去,在中间任何一个环节进行拦截进行修改都可以实现隐藏进程的目的.这种方法被称为"HOOK".
正常调用API的时候,系统会根据SSDT表正确的指向系统的API函数,但是病毒修改了SSDT表后,当你调用结束进程NtTerminateProcess函数时,SSDT表指向的地址就不是这个真正NtTerminateProcess函数的地址了,而是指向病毒自己的函数,用户想结束病毒的进程,使用的函数却是病毒的函数,你认为它会听你的话吗?这只是一种,还有一种更厉害的就是"LINEHOOK",这种类型的病毒修改的不是SSDT表,而是修改的函数代码.从原理上可知,修改SSDT表导致函数地址被HOOK的病毒,只要恢复SSDT表,然后清除病毒主程序就完了.而这种LINEHOOK修改代码的技术,更是难以防范.因为它并没有修改SSDT表,而是修改系统中正常的API函数,添加自己想要的功能进去,举个例子,用户查向系统发出查询系统进程的命令,系统按照要求在SSDT表中找到对应函数的地址,对函数进行调用,比如这个函数名为A.接着函数A把返回的结果传回系统中显示出来,这是正常的情况下.非正常的情况下,病毒并不是修改SSDT表,而是修改函数A中的内容,加上自己的功能,比哪说隐藏自己.在返回系统进程的信息中,把病毒自己的进程名给删除了,用户最终在进程管理器中看到的进程,理所当然的不包括病毒进程了.明白了吧.
以上这些都是我多年杀毒总结出来的经验,当然引用了一些专业名词,能看懂的尽量看懂吧,将会对你有很大的帮助.我平常都把一些常用的辅助工具软件用U盘存放起来,方便随时使用,武林高手在怎么说手上总得有把利剑吧...
原作者：漫步云端 http://14831073.qzone.qq.com

15年经验帮你搞定,绝妙配合：360玩固木马清除（不是360哟!不是360哟）+小红伞

只要你稍微知道一点就行了：没有一个杀毒软件能全部查出病毒，只有杀毒软件的交叉，才能够搞定。
100%搞定方案：

1用顶级玩固木马专杀：http://www.360.cn/killer/360compkill.html
下载的文件会提示你360打不开怎么办，要把下载的文件改下名.下载的玩固木马专杀文件夹，里面的文件有叫你改名,改名后就可以运行了！

打开后，必须勾选强力查杀，查杀完后，再下载小红伞9.0版本中文版，
如果杀后还有，装上小红伞9.0，木马杀完了，基本上全部搞定
2配合用国外的“小红伞”杀毒

记得要配合小红伞！

手动查看系统文件夹和临时文件夹下的文件：windows下、system32下等等。打开该文件夹后以详细信息和修改时间方式查看，看看时间最近的文件有没可疑，一般是.exe、dll等等文件可疑性最大。（要把显示隐藏文件和显示扩展名都打开）
另外也有可以在cmd下查看，命令是dir，如：dir c:\ /a 是显示有属性能文件。

查处隐藏在电脑里的病毒和木马的方法：

1，开机后按F8，进入安全模式,；

2，使用杀毒软件全盘查。

一般这种查杀方式是最彻底的了。

看进程 查出处 删掉

---

科尔沁右翼前旗19294932157： 如何查询电脑中的隐病毒? ？
繁珠先锋： 打开任务管理器,看你系统加载的进程,不是你系统和应用程序的进程,那么就是病毒进程了.如果是后门木马,就需要用进程监控软件进一步分析他所调用的动态数据库.

科尔沁右翼前旗19294932157： 怎么查找电脑里的隐藏病毒!请高手指引. - ？
繁珠先锋： 如果电脑磁盘有隐藏文件,需要显示出来,可以按照下面的方法操作一下,电脑有病毒最好还是通过杀毒软件来进行查杀,手动的查杀不仅需要专业的知识,还需要长期的经验积累才行,这个不是一朝一夕就能学会的.win7 系统 打开“计算机...

科尔沁右翼前旗19294932157： 如何查看电脑中的隐藏木马? - ？
繁珠先锋： 1、打开资源管理器,执行“工具/文件夹选项”命令,在打开的对话框中,切换到“查看”选项卡,然后在下方的选项列表框中选择“显示所有文件和文件夹”选项,单击“确定”按钮即可查看隐藏的文件了. 2、杀毒软件升级后杀毒,看中了什么病毒,在百度里查找怎么查杀

科尔沁右翼前旗19294932157： 电脑隐藏病毒怎么找到清除! - ？
繁珠先锋： ‍‍电脑中毒可以安装瑞星杀毒软件进行升级杀毒操作;如果存在劫持类病毒导致杀毒软件不能正常打开或安装,可下载一些去掉劫持的工具或软件,如“瑞星安全助手”等进行处理后在升级杀毒;如果依然不能解决问题,建议联系瑞星工程师寻求帮助,电话:4006608866.‍‍ ‍

科尔沁右翼前旗19294932157： 如何发现隐藏的电脑病毒？
繁珠先锋： 进入我的电脑,菜单栏,文件夹选项,查看,列表的隐藏文件的钩子去掉,隐藏已知文件扩展名钩子去掉,如果你知道病毒路径可以去该文件夹查看它并消灭它,一般不好手动灭它,最好下载杀毒软件全盘扫描,或者360系统急救箱(原名木马专杀工具)查杀,并修复被病毒木马篡改问题

科尔沁右翼前旗19294932157： 怎样能查到自己电脑里隐藏的病毒呢？
繁珠先锋： 打开“我的电脑”-上面的工具拦里的“工具”-“文件夹选项”-“查看”-然后把“显示所有文件和文件夹”选项√上,就可以看到隐藏的文件了. 但你要知道那些是病毒才可以删,有些系统文件也是被隐藏的...

科尔沁右翼前旗19294932157： 如何查看隐藏了进程的木马和病毒(我知道杀毒软件专用软件也能看,提问如何手动查找) - ？
繁珠先锋： 病毒和木马隐藏的不外乎几个方面. 启动项. 服务..注册表. 如果你中了病毒. 首先查看一下启动. 有没有可疑的文件或程序在运行?服务是病毒常光顾的地方.如果你遇到不能删掉的文件. 有可能隐藏在里面了. 这方面要靠你仔细的观察了.注册表你要看的是这个根项 HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run

科尔沁右翼前旗19294932157： 怎样查处隐藏的病毒？
繁珠先锋： 一般情况下 要借助工具 或者通过分析日志. icesword可以看到隐藏的进程. 自己查木马可以用下面的工具 首先,下载windows清理助手3.0 清理 一遍,记得之前更新好. 对流行木马有奇效!!! (不要直接在压缩包内运行,先把所有文件...

科尔沁右翼前旗19294932157： 如何彻底检查电脑里面有没有病毒和木马~~高手来 - ？
繁珠先锋： 1.)检查注册表 看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名.如果有,就需...

科尔沁右翼前旗19294932157： 如果电脑系统内存有木马病毒怎么才能清除干净 - ？
繁珠先锋： 分2种情况: 第一种:能正常启动电脑,但病毒影响电脑正常使用,轻量级; 第二种:电脑无法正常启动,重量级; (切记别在中病毒的情况下,进行敏感操作,如登录网银、登录QQ、可能会泄漏重要密码等相关操作;) 解决办法: 1、可以下载杀毒软件,如360/瑞星/卡巴斯基/一般病毒都能杀掉,如遇到杀不掉,则需要重装系统. 2、可以用启动U盘进行系统还原操作,或者直接重做系统.