电脑染上木马病毒有什么现象

网上有关“电脑染上木马病毒有什么现象”话题很是火热，小编也是针对电脑染上木马病毒有什么现象寻找了一些与之相关的一些信息进行分析，如果能碰巧解决你现在面临的问题，希望能够帮助到您。

电脑中毒一般并不会有明显的状态的，如果有一般就是下面的12种状态：

1.经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

2.系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

3.文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

4.经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

5.提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

6.软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

7.出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

8.启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

9.数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

10.键盘或鼠标无端地锁死：病毒作怪，特别要留意“木马”；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

11.系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

12.系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

实用电脑小常识

现代社会中，电脑已经成为人们生活和工作不可缺少的工具，但电脑也越来越成为一把“双刃剑”：它在给人们生活和工作带来方便、快捷的同时，也在悄悄地危及人们的健康，引起人的视力衰退、关节损伤、辐射伤害、头部和肩膀疼痛。据调查，常用电脑的人中感到眼睛疲劳的占83％，肩酸腰痛的占63.9％，头痛和食欲不振的则占56.1％和54.4％，还会出现自律神经失调、忧郁症、动脉硬化性精神病等。

专家指出，“电脑病”的产生主要是和人们在电脑面前的坐姿、使用方法，以及使用时间长短有关。因此，对长期使用电脑的人来说，做好防护工作非常重要。

一、坐姿正确。在操作电脑时尽可能保持自然的端坐位，将后背坐直，并保持颈部的挺直。两肩自然下垂，上臂贴近身体，手肘弯曲成90度，操作键盘或滑鼠，尽量使手腕保持水平。

二、电脑的摆放高度要合适。将电脑屏幕中心位置安装在与操作者胸部同一水平线上，最好使用可以调节高低的椅子。应有足够的空间伸放双脚，膝盖自然弯曲成90度，并维持双脚着地，不要交叉双脚，以免影响血液循环。

三、与屏幕保持恰当的距离。眼睛与电脑屏幕的距离应在40—50厘米，使双眼平视或轻度向下注视荧光屏，这样可使颈部肌肉轻松，并使眼球暴露于空气中的面积减小到最低。

四、劳逸结合。避免长时间连续操作电脑，使用电脑的时间最好是30分钟就休息一下，可到室外散步，或抬头望天，或向远处眺望，或进行10至20次伸颈和扩胸练习。

五、保持皮肤清洁。电脑荧光屏表面存在着大量静电，其积聚的灰尘可转射到脸部和手的皮肤裸露处，时间久了，易发生斑疹、色素沉着，严重者甚至会引起皮肤病变等。为减少辐射，应使办公室保持通风干爽，这样能使那些有害物质尽快排出，在电脑桌下放一盆水或是放一盆花草也可减少辐射，勤洗脸也能防止辐射波对皮肤的刺激。

六、合理膳食。平时多吃些胡萝卜、白菜、豆芽、豆腐、红枣、橘子以及牛奶、鸡蛋、动物肝脏、瘦肉等食物，少食肥甘厚味及辛辣刺激性食品，以补充人体内维生素A和蛋白质。平时可多饮些茶，茶叶中含有茶多酚等活性物质，有利于吸收与抵抗放射性物质。

最后别忘了，使用电脑后，一定要洗手。键盘上面附着着很多细菌和病毒，也会给人带来伤害。

MP3搜索发现病毒连接

最近发现了利用MP3搜索引擎木马传播的病毒。通过百度、一搜下载MP3以后，电脑都出现了中病毒的症状。一名网友说，她在百度的MP3搜索引擎上将一首MP3格式的歌曲文件下载到电脑后，运行该MP3文件时，电脑浏览器首页被改成了一个从未见过的网址，而鼠标右键也不能用了。

据反病毒专家分析后发现，这些网友通过连接所下载的并不是MP3文件，而是一个病毒文件。瑞星反病毒专家刘刚介绍说，这是一个名叫“首页变种AHK（Trojan.StartPage.ahk）”的木马病毒，感染这个病毒后浏览器会被强行修改，电脑运行变慢甚至崩溃，鼠标右键也出现异常，目前在百度和一搜的MP3搜索引擎中都发现了这个病毒。而通过MP3搜索引擎来传播病毒，这在国内还是首次发现。

由于通过MP3文件传播病毒形式更加隐蔽，专家提供了四条建议：一、计算机一定要安装杀毒软件并注意及时升级；二、上网时应打开杀毒软件的实时监控功能；三、利用杀毒软件的“漏洞扫描”弥补系统漏洞；四、从网上下载**、音乐文件后应对其进行病毒扫描。

解决系统资源不足问题

第一种思路：

1.清除“剪贴板”

当“剪贴板”中存放的是一幅图画或大段文本时，会占用较多内存。请清除“剪贴板”中的内容，释放它占用的系统资源：单击“开始”，指向“程序”，指向“附件”，指向“系统工具”，单击“剪贴板查看程序”，然后在“编辑”菜单上，单击“删除”命令。

2.重新启动计算机

只退出程序，并不重新启动计算机，程序可能无法将占用的资源归还给系统。请重新启动计算机以释放系统资源。

3.减少自动运行的程序

如果在启动Windows时自动运行的程序太多，那么，即使重新启动计算机，也将没有足够的系统资源用于运行其他程序。设置Windows不启动过多程序：其一，单击“开始→运行”，键入“msconfig”，单击“确定”按钮，单击“启动”选卡，清除不需要自启动的程序前的复选框。其二，单击“开始→运行”，键入“sysedit”，单击“确定”按钮，删除“autoexec.bat”、“win.ini”和“config.sys”文件中不必要的自启动的程序行。然后，重新启动计算机。

4.设置虚拟内存

虚拟内存不足也会造成系统运行错误.可以在“系统属性”对话框中手动配置虚拟内存，把虚拟内存的默认位置转到可用空间大的其他磁盘分区。

5.应用程序存在Bug或毁坏

有些应用程序设计上存在Bug或者已被毁坏，运行时就可能与Windows发生冲突或争夺资源，造成系统资源不足。解决方法有二：一是升级问题软件，二是将此软件卸载，改装其他同类软件。

6.内存优化软件

不少的内存优化软件，如RAM Idle和Memo Kit都能够自动清空“剪贴板”、释放被关闭程序未释放的系统资源、对虚拟内存文件(Win386.swp)进行重新组织等，免除手工操作的麻烦，达到自动释放系统资源的目的。

第二种思路：

1.禁用一部分启动项

启动时加载过多的应用程序会使Windows因系统资源严重不足而“蓝屏”，因此我们最好运行“Msconfig”禁用一部分应用程序。或者使用Windows优化大师来代劳。

2.设置足够的虚拟内存

虚拟内存不足也会造成系统多任务运算错误，我们可以通过时常删除一些临时文件和交换文件对此问题加以解决，此外还可以在“系统属性”下手动配置虚拟内存，把虚拟内存的默认位置转到其他逻辑盘下。并设置得大一些。

3.给硬盘保留足够空间

由于Win9X运行时需要用硬盘作虚拟内存，这就要求硬盘必须保留一定的自由空间以保证程序的正常运行。一般而言，最低应保证100MB以上的空间，否则出现“蓝屏”很可能与硬盘剩余空间太小有关。另外，硬盘的碎片太多，也容易导致“蓝屏”的出现。因此，每隔一段时间进行一次碎片整理是必要的。

4.使用内存管理软件

剩下的就是些杂项了，诸如不用activedesktop之类浪费资源的功能。使用内存管理软件，如RAM Idle之类的。养成好习惯，暂时不用的程序就将其关闭。

进程中的scvhost是什么啊？

如果你要想用进程查看病毒话我叫你

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法

1.以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

3.借尸还魂

除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe-kLocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒。

iexplore.exe

常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是MicrosoftInternetExplorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。

iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

rundll32.exe

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exeuser32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“PrintSpooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

1.仔细检查进程的文件名；

2.检查其路径。

通过这两点，一般的病毒进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。

运行Procexp后，进程会被分为两大块，“SystemIdleProcess”下属的进程属于系统进程，

explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“SystemIdleProcess”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒冒充的.

windows2000里的scvhost.exe是什么文件？

svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

发现

svchost中可以包含多个服务

深入

从启动参数中可见服务是靠svchost来启动的。

实例

解惑

由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。

关于“电脑染上木马病毒有什么现象”这个话题的介绍，今天小编就给大家分享完了，如果对你有所帮助请保持对本站的关注！

本文来自作者[水彤]投稿，不代表克拉号立场，如若转载，请注明出处：https://kelaima.com/kela/1155.html