无端口 无后门 木马如何查杀
木马的检测、清除与防范
木马程序不同于病毒程序,通常并不象病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性。由于木马具有很强的隐蔽性,用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马,如何对木马进行清除和防范。
木马检测
1、查看开放端口
当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的,这样我们就可以通过查看在本机上开放的端口,看是否有可疑的程序打开了某个可疑的端口。例如冰河使用的监听端口是7626,Back Orifice 2000使用的监听端口是54320等。假如查看到有可疑的程序在利用可疑端口进行连接,则很有可能就是中了木马。查看端口的方法有几种:
(1)使用Windows本身自带的netstat命令
C:\netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:113 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5092 0.0.0.0: LISTENING
TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI
TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING
UDP 0.0.0.0:69 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1703 *:*
UDP 0.0.0.0:1704 *:*
UDP 0.0.0.0:4000 *:*
UDP 0.0.0.0:6000 *:*
UDP 0.0.0.0:6001 *:*
UDP 127.0.0.1:1034 *:*
UDP 127.0.0.1:1321 *:*
UDP 127.0.0.1:1551 *:*
(2)使用windows2000下的命令行工具fport
E:\softwareFport.exe
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
Pid Process Port Proto Path
420 svchost - 135 TCP E:\WINNT\system32\svchost.exe
8 System - 139 TCP
8 System - 445 TCP
768 MSTask - 1025 TCP E:\WINNT\system32\MSTask.exe
8 System - 1027 TCP
8 System - 137 UDP
8 System - 138 UDP
8 System - 445 UDP
256 lsass - 500 UDP E:\WINNT\system32\lsass.exe
(3)使用图形化界面工具Active Ports
这个工具可以监视到电脑所有打开的TCP/IP/UDP端口,还可以显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于Windows NT/2000/XP平台。
2、查看win.ini和system.ini系统配置文件
查看win.ini和system.ini文件是否有被修改的地方。例如有的木马通过修改win.ini文件中windows节 的“load=file.exe ,run=file.exe”语句进行自动加载。此外可以修改system.ini中的boot节,实现木马加载。例如 “妖之吻” 病毒,将“Shell=Explorer.exe” (Windows系统的图形界面命令解释器)修改成“Shell=yzw.exe”,在电脑每次启动后就自动运行程序yzw.exe。修改的方法是将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。
3、查看启动程序
如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始-程序-启动”处,在Win98资源管理器里的位置是“C:\windows\start menu\programs\启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
检查是否有可疑的启动程序,便很容易查到是否中了木马。
在Win98系统下,还可以直接运行Msconfig命令查看启动程序和system.ini、win.ini、autoexec.bat等文件。
4、查看系统进程
木马即使再狡猾,它也是一个应用程序,需要进程来执行。可以通过查看系统进程来推断木马是否存在。
在Windows NT/XP系统下,按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程。在Win98下,可以通过Prcview和winproc工具来查看进程。查看进程中,要求你要对系统非常熟悉,对每个系统运行的进程要知道它是做什么用的,这样,木马运行时,就很容易看出来哪个是木马程序的活动进程了。
5、查看注册表
木马一旦被加载,一般都会对注册表进行修改。一般来说,木马在注册表中实现加载文件一般是在以下等处:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunServices
此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
““%1” %*”处,如果其中的“%1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。还有“广外女生”木马就是在HKEY_CLASSES_ROOT\exefile\shell\open
\command=““%1” %*”处将其默认键值改成"%1" %*",并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices添加了名称为"Diagnostic Configuration"的键值;
6、使用检测软件
上面介绍的是手工检测木马的方法,此外,我们还可以通过各种杀毒软件、防火墙软件和各种木马查杀工具等检测木马。各种杀毒软件主要有:KV3000,Kill3000、瑞星等,防火墙软件主要有国外的Lockdown,国内的天网、金山网镖等,各种木马查杀工具主要有:The Cleaner、木马克星、木马终结者等。这里推荐一款工具防护工具McAfee VirusScan ,它集合了入侵防卫及防火墙技术,为个人电脑和文件服务器提供全面的病毒防护。
木马清除
检测到电脑中了木马后,就要根据木马的特征来进行清除。查看是否有可疑的启动程序、可疑的进程存在,是否修改了win.ini、system.ini系统配置文件和注册表。如果存在可疑的程序和进程,就按照特定的方法进行清除。主要的步骤都不外乎以下几个:(但并不是所有的木马清除都能够根据下列步骤删除,这里只是介绍清除木马的基本方法)
1、删除可疑的启动程序
查看系统启动程序和注册表是否存在可疑的程序后,判断是否中了木马,如果存在木马,则除了要查出木马文件并删除外,还要将木马自动启动程序删除。例如Hack.Rbot病毒、后门就会拷贝自身到一些固定的windows自启动项中:
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
查看一下这些目录,如果有可疑的启动程序,则将之删除。
2、恢复win.ini和system.ini系统配置文件的原始配置
许多病毒会将win.ini和system.ini系统配置文件修改,使之能在系统启动时加载和运行木马程序。例如电脑中了“妖之吻”病毒后,病毒会将system.ini中的boot节的“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木马的方法是把system.ini给恢复原始配置,即“Shell=yzw.exe”修改回“Shell=
Explorer.exe”,再删除掉病毒文件即可。
TROJ_BADTRANS.A病毒,也会更改win.ini以便在下一次重新开机时执行木马程序。主要是将win.ini中的windows节的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。执行清除的步骤如下:
(1)打开win.ini文本文件,将字段“RUN=C:%WINDIR%INETD.EXE”中 等号后面的字符删除,仅保留“RUN=”。
(2)将被TROJ_BADTRANS.A病毒感染的文件删除。
3、停止可疑的系统进程
木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序,在对木马进行清除时,当然首先要停掉木马程序的系统进程。例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外,还在进程中运行wuamgrd.exe程序,修改了注册表,以便病毒可随机自启动。在看到有木马程序在进程中运行,则需要马上杀掉进程,并进行下一步操作,修改注册表和清除木马文件。
4、修改注册表
查看注册表,将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门,向注册表的以下地方:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
添加了键值"Microsoft Update" = "wuamgrd.exe",以便病毒可随机自启动。这就需要我们进入注册表,将这个键值给删除。注意:可能有些木马会不允许执行.exe文件,这样我们就需要先将regedit.exe改成系统能够运行的,比如可以改成regedit.com。这里就说说如何清除Hack.Rbot病毒、后门的。
(1)将进程中运行的wuamgrd.exe进程停止,这是一个木马程序;
(2)将Hack.Rbot拷贝到windows启动项中的启动文件删除;
(3)将Hack.Rbot添加到注册表中的键值"Microsoft Update"=
"wuamgrd.exe"删除;
(4)手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。
5、使用杀毒软件和木马查杀工具进行木马查杀
常用的杀毒软件包括KV3000、瑞星、诺顿等,这些软件对木马的查杀是比较有效的,但是要注意时刻更新病毒库,而且对于一些木马查杀不彻底,在系统重新启动后还会自动加载。此外,你还可以使用The Cleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。这里推荐一款工具Anti-Trojan Shield,这是一款享誉欧洲的专业木马侦测、拦截及清除软件。可以在网站下载。
木马防范
随着网络的普及,硬件和软件的高速发展,网络安全显得日益重要。对于网络中比较流行的木马程序,传播时间比较快,影响比较严重,因此对于木马的防范就更不能疏忽。我们在检测清除木马的同时,还要注意对木马的预防,做到防范于未然。
1、不要随意打开来历不明的邮件
现在许多木马都是通过邮件来传播的,当你收到来历不明的邮件时,请不要打开,应尽快删除。并加强邮件监控系统,拒收垃圾邮件。
2、不要随意下载来历不明的软件
最好是在一些知名的网站下载软件,不要下载和运行那些来历不明的软件。在安装软件的同时最好用杀毒软件查看有没有病毒,之后才进行安装。
3、及时修补漏洞和关闭可疑的端口
一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,在把漏洞修补上的同时,需要对端口进行检查,把可疑的端口关闭。
4、尽量少用共享文件夹
如果必须使用共享文件夹,则最好设置帐号和密码保护。注意千万不要将系统目录设置成共享,最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态,这是非常危险的。
5、运行实时监控程序
在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。
6、经常升级系统和更新病毒库
经常关注厂商网站的安全公告,这些网站通常都会及时的将漏洞、木马和更新公布出来,并第一时间发布补丁和新的病毒库等。
电脑自动重新启动与电源电容有问题没?
电脑重启的原因都有哪几种?这种问题一般都是由电源引起的。电源功率不足经常会引起电脑无故重启。另外,还可以检测一下电压是否稳定,因为有些家庭供电很可能会有电压不稳的情况。而电压不稳或者偏低很容易产生上述故障。 如果真是这种情况的话,那么应该更改电源了。 电脑自动从启应该考虑的问题如下: 一、软件方面 1.病毒 “冲击波”病毒发作时还会提示系统将在60秒后自动启动。 木马程序从远程控制你计算机的一切活动,包括让你的计算机重新启动。 清除病毒,木马,或重装系统。 2.系统文件损坏 系统文件被破坏,如Win2K下的KERNEL32.DLL,Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏,系统在启动时会因此无法完成初始化而强迫重新启动。 解决方法:覆盖安装或重新安装。 3.定时软件或计划任务软件起作用 如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时,当定时时刻到来时,计算机也会再次启动。对于这种情况,我们可以打开“启动”项,检查里面有没有自己不熟悉的执行文件或其他定时工作程序,将其屏蔽后再开机检查。当然,我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。 二、硬件方面 1.机箱电源功率不足、直流输出不纯、动态反应迟钝。 用户或装机商往往不重视电源,采用价格便宜的电源,因此是引起系统自动重启的最大嫌疑之一。 ①电源输出功率不足,当运行大型的3D游戏等占用CPU资源较大的软件时,CPU需要大功率供电时,电源功率不够而超载引起电源保护,停止输出。电源停止输出后,负载减轻,此时电源再次启动。由于保护/恢复的时间很短,所以给我们的表现就是主机自动重启。 ②电源直流输出不纯,数字电路要求纯直流供电,当电源的直流输出中谐波含量过大,就会导致数字电路工作出错,表现是经常性的死机或重启。 ③CPU的工作负载是动态的,对电流的要求也是动态的,而且要求动态反应速度迅速。有些品质差的电源动态反应时间长,也会导致经常性的死机或重启。 ④更新设备(高端显卡/大硬盘/视频卡),增加设备(刻录机/硬盘)后,功率超出原配电源的额定输出功率,就会导致经常性的死机或重启。 解决方法:现换高质量大功率计算机电源。 2.内存热稳定性不良、芯片损坏或者设置错误 内存出现问题导致系统重启致系统重启的几率相对较大。 ①内存热稳定性不良,开机可以正常工作,当内存温度升高到一定温度,就不能正常工作,导致死机或重启。 ②内存芯片轻微损坏时,开机可以通过自检(设置快速启动不全面检测内存),也可以进入正常的桌面进行正常操作,当运行一些I/O吞吐量大的软件(媒体播放、游戏、平面/3D绘图)时就会重启或死机。 解决办法:更换内存。 ③把内存的CAS值设置得太小也会导致内存不稳定,造成系统自动重启。一般最好采用BIOS的缺省设置,不要自己改动。 3.CPU的温度过高或者缓存损坏 ①CPU温度过高常常会引起保护性自动重启。温度过高的原因基本是由于机箱、CPU散热不良,CPU散热不良的原因有:散热器的材质导热率低,散热器与CPU接触面之间有异物(多为质保帖),风扇转速低,风扇和散热器积尘太多等等。还有P2/P3主板CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏,主板上的BIOS有BUG在某一特殊条件下测温不准,CMOS中设置的CPU保护温度过低等等也会引起保护性重启。 ②CPU内部的一、二级缓存损坏是CPU常见的故障。损坏程度轻的,还是可以启动,可以进入正常的桌面进行正常操作,当运行一些I/O吞吐量大的软件(媒体播放、游戏、平面/3D绘图)时就会重启或死机。 解决办法:在CMOS中屏蔽二级缓存(L2)或一级缓存(L1),或更换CPU排除。 4.AGP显卡、PCI卡(网卡、猫)引起的自动重启 ①外接卡做工不标准或品质不良,引发AGP/PCI总线的RESET信号误动作导致系统重启。 ②还有显卡、网卡松动引起系统重启的事例。 5. 并口、串口、USB接口接入有故障或不兼容的外部设备时自动重启 ①外设有故障或不兼容,比如打印机的并口损坏,某一脚对地短路,USB设备损坏对地短路,针脚定义、信号电平不兼容等等。 ②热插拔外部设备时,抖动过大,引起信号或电源瞬间短路。 6.光驱内部电路或芯片损坏 光驱损坏,大部分表现是不能读盘/刻盘。也有因为内部电路或芯片损坏导致主机在工作过程中突然重启。光驱本身的设计不良,FireWare有Bug。也会在读取光盘时引起重启。 7.机箱前面板RESET开关问题 机箱前面板RESET键实际是一个常开开关,主板上的RESET信号是+5V电平信号,连接到RESET开关。当开关闭合的瞬间,+5V电平对地导通,信号电平降为0V,触发系统复位重启,RESET开关回到常开位置,此时RESET信号恢复到+5V电平。如果RESET键损坏,开关始终处于闭合位置,RESET信号一直是0V,系统就无法加电自检。当RESET开关弹性减弱,按钮按下去不易弹起时,就会出现开关稍有振动就易于闭合。从而导致系统复位重启。 解决办法:更换RESET开关。 还有机箱内的RESET开关引线短路,导致主机自动重启。 8. 主板故障 主板导致自动重启的事例很少见。一般是与RESET相关的电路有故障;插座、插槽有虚焊,接触不良;个别芯片、电容等元件损害。 三、其他原因 1.市电电压不稳 ①计算机的开关电源工作电压范围一般为170V-240V,当市电电压低于170V时,计算机就会自动重启或关机。 解决方法:加稳压器(不是UPS)或130-260V的宽幅开关电源。 ②电脑和空调、冰箱等大功耗电器共用一个插线板的话,在这些电器启动的时候,供给电脑的电压就会受到很大的影响,往往就表现为系统重启。 解决办法就是把他们的供电线路分开。 2.强磁干扰 不要小看电磁干扰,许多时候我们的电脑死机和重启也是因为干扰造成的,这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰,也有来自外部的动力线,变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良,就会出现主机意外重启或频繁死机的现象。 3、交流供电线路接错 有的用户把供电线的零线直接接地(不走电度表的零线),导致自动重启,原因是从地线引入干扰信号。 4.插排或电源插座的质量差,接触不良。 电源插座在使用一段时间后,簧片的弹性慢慢丧失,导致插头和簧片之间接触不良、电阻不断变化,电流随之起伏,系统自然会很不稳定,一旦电流达不到系统运行的最低要求,电脑就重启了。解决办法,购买质量过关的好插座。 5. 积尘太多导致主板RESET线路短路引起自动重启。 四、部分实例 1. CPU二级缓存坏的实例 一台几年前配置的兼容机:K6-2 200MHz CPU,采用VX-Pro+芯片组的主板,两根16MB 72线EDO内存, Windows 98操作系统。在出现蓝天白云画面后自动重启,安全模式同样无法进入,只能进入MS-DOS模式。笔者猜想由于内存条质量问题导致电脑重启的可能性较大,所以首先更换同型号内存条测试,故障依旧。再更换电源仍无法解决问题。排除到最后只剩下主板、CPU和显卡,试过显卡没有问题后,苦于找不到能安装K6-2 200MHz CPU的旧主板只能作罢。 当时也怀疑过BIOS设置可能有误,试过恢复到缺省值,也未能解决问题。过了几天,再次摆弄电脑时,无意进入BIOS并将CPU Internal Cache一项设为Disable,保存退出后重启,系统竟然可以启动了!由此估计应当是CPU的缓存有问题,于是再将缓存设置为打开状态并启动电脑,果然系统又不能正常启动了。由于将缓存关闭后大幅度降低了CPU的性能,所以Windows 98在启动和运行程序时比以往慢了许多,最后换了一块CPU才算解决问题 2. 电源故障的实例 笔者上班的地方计算机每天都要开着(因为上网的人多),十天半月不关机是常事。在如此高的工作强度下,硬件设备的故障率也很高。 故障现象:两台兼容机,一台CPU为Athlon XP 1700+,一台CPU为P4 1.7GHz,主机电源均为世纪之星电源。当计算机处于满负荷状态运行一段时间后(此时CPU使用率保持在100%,硬盘也在大量读写数据),经常性地自动重启。其中一台在挂接一块60GB硬盘和一块80GB硬盘时,出现供电不足的现象。 故障分析处理:由于这两台计算机平时用于文档编辑、上网等一般工作时正常,只有进行大量计算时才出问题。开始怀疑是CPU温度过高所致,但检测表明温度正常。检查硬盘发现,其中一块硬盘出现了坏道,但是在更换硬盘重装系统后故障依旧,看来硬盘出现坏道很可能是计算机经常非正常重启导致的。在更换新电源后,故障消失。 拆开两个旧电源,发现其中一个电源的两个相同型号的电解电容(3300μF/10V)顶端有黄褐色的颗粒状凝结物,另一个电源的两个不同型号的电解电容(1000μF/16V,3300μF/16V)顶端也有黄褐色的颗粒状凝结物,这是电容被击穿漏液所导致的。在电子市场花钱购买了相同型号的电容更换后,经测试均恢复正常。这里提醒一下,千万别把电容正负极接反了! 事后分析发现,笔者单位电网常因检修或用电不当突然停电,导致配件上的电容被击穿,一块主板也曾经在一次突然停电后罢工,检查发现几个大电解电容被击穿漏液,更换电容后恢复正常。 3. 显卡接触不良的实例 故障现象:朋友电脑配置为明基BenQ 77G的显示器、技嘉8IRX的主板、P4 1.6G CPU、80G硬盘、小影霸速配3000显卡、全向极云飞瀑内猫、主板自带AC97的声卡。因装修房子,要挪动电脑,就把电脑后的连线都拆了。后来自己接好线后,电脑却怎么也启动不起来了。电脑自检正常,闪过主板LOGO后,出现WINDOWS 98启动画面,接着光标闪动,一切很正常,可是约摸着快要进入系统的时候,电脑突然“嘀”的一声重启动了,重新启动几次都是这样。 故障分析:笔者的这位朋友是个纯纯的“菜鸟”,初步判断可能是一般性的接线问题,很有可能是鼠标和键盘接反导致的。先是检查了一遍电脑接线,没有问题,会不会是接线松动呢?重新把所有电脑连线接了一遍 故障依旧。启动时选安全模式能进入系统,运行也正常,重启后进入BIOS里查看CPU温度,在正常范围内,排除因CPU过热导致的重启。朋友也没安装新的硬件,故排除电源供电不足导致重启现象。引起故障的原因可能有以 下四个方面:一是软件冲突;二是显示分辨率或刷新率设置高于额定的值;三是显卡和其它硬件冲突、或驱动程序问题导致;四是显卡故障。 故障排除:问朋友发生故障前对机器进行了哪些操作?朋友说拆机前一直都用的很好,没有安装过新软件。没有蛛丝马迹,只有从上面的四个可能的故障原因里排查。重启后,进入安全模式,运行msconfig命令,把启动项里不是操作系统所必需的项都去掉,重启后,故障依旧。看来不是软件安装导致的。接下来看看是不是分辨率和刷新率过高,在安全模式下,将监视器删除,重启动,故障依旧。最后问题都集中在显卡身上了。再次进入安全模式,删除显卡驱动程序,重启动后,跳过显卡驱动安装,能进入正常启动模式,看来故障是驱动程序的问题或显卡与其它硬件冲突引起的了。下载一个新的驱动看能不能解决这个问题呢?拨号上网,机器突然又重启了,难道猫也坏了吗?这可怎么办,真的山穷水复了吗?这台电脑是因为拆了以后就启不起来了,显卡和猫总不会因搬一下机器就坏了吧?想到搬运机器,是不是因为拆装电脑时把显卡碰松导致接触不良而引起的故障呢?抱着最后试一试的心理,打开机箱,将显卡和猫拔出重新插紧安好,装好显卡驱动,重启,竟然看到美丽的桌面了,试着拨号,也没问题了,故障排除了。原来故障是显卡接触不良的导致。 小结:以上显卡接触不良导致电脑不能进入系统故障,现象有点类似显卡故障的症状,如果不从细小问题入手,还真难一时半会解决,甚至会怀疑是硬件故障,而大费周折。
手机被植入木马程序该怎么办?
可在手机上安装杀毒之类的安全软件进行检测,看看是否有恶意程序。
若手机中病毒,建议操作:
1、备份重要数据(联系人、照片、备忘录等)恢复出厂设置。
2、若问题依然存在,建议携带购机发票、三包凭证,将手机送至售后服务中心检测维护。
扩展资料
预防
1.乱码短信、彩信,删。
乱码短信、彩信可能带有病毒,收到此类短信后立即删除,以免感染手机病毒。
2.不要接受陌生请求。
利用无线传送功能比如蓝牙、红外接收信息时,一定要选择安全可靠的传送对象,如果有陌生设备请求连接最好不要接受。因为前面说过,手机病毒会自动搜索无线范围内的设备进行病毒的传播。
3.保证下载的安全性。
网上有许多资源提供手机下载,然而有的资源里捆绑了病毒,这就要求用户在使用手机下载各种资源的时候确保下载站点是否安全可靠,尽量避免去个人网站下载。
参考资料来源:百度百科-手机病毒
无语了 重启之后就有自动远程控制和木马
1、有中毒的可能性,一般是蠕虫或震荡波,造成这个原因是未能及时打补丁,请进行系统更新和瑞星漏洞扫描更新。
2、请问你装系统时,是否格式化了,如果未格式化,重装也是没有用的,病毒可能更改了注册表。
3、在你以前重启时,是否出现经常扫描硬盘,并且出现异响,如有上述症状,估计硬盘有问题,请与及时请专人诊断,并更换硬盘。
请检查CPU风扇运转是否正常,偶尔重启是正常的,不要害怕.另外,请右键点击我的电脑属性,点高级,点启动和故障恢复设置,把系统失败中自动重新启动的钩去掉,就OK了.
一、软件方面
1.病毒
“冲击波”病毒发作时还会提示系统将在60秒后自动启动。
木马程序从远程控制你计算机的一切活动,包括让你的计算机重新启动。
清除病毒,木马,或重装系统。
2.系统文件损坏
系统文件被破坏,如Win2K下的KERNEL32.DLL,Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏,系统在启动时会因此无法完成初始化而强迫重新启动。
解决方法:覆盖安装或重新安装。
3.定时软件或计划任务软件起作用
如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时,当定时时刻到来时,计算机也会再次启动。对于这种情况,我们可以打开“启动”项,检查里面有没有自己不熟悉的执行文件或其他定时工作程序,将其屏蔽后再开机检查。当然,我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。
二、硬件方面
1.机箱电源功率不足、直流输出不纯、动态反应迟钝。
用户或装机商往往不重视电源,采用价格便宜的电源,因此是引起系统自动重启的最大嫌疑之一。
①电源输出功率不足,当运行大型的3D游戏等占用CPU资源较大的软件时,CPU需要大功率供电时,电源功率不够而超载引起电源保护,停止输出。电源停止输出后,负载减轻,此时电源再次启动。由于保护/恢复的时间很短,所以给我们的表现就是主机自动重启。
②电源直流输出不纯,数字电路要求纯直流供电,当电源的直流输出中谐波含量过大,就会导致数字电路工作出错,表现是经常性的死机或重启。
③CPU的工作负载是动态的,对电流的要求也是动态的,而且要求动态反应速度迅速。有些品质差的电源动态反应时间长,也会导致经常性的死机或重启。
④更新设备(高端显卡/大硬盘/视频卡),增加设备(刻录机/硬盘)后,功率超出原配电源的额定输出功率,就会导致经常性的死机或重启。
解决方法:现换高质量大功率计算机电源。
2.内存热稳定性不良、芯片损坏或者设置错误
内存出现问题导致系统重启致系统重启的几率相对较大。
①内存热稳定性不良,开机可以正常工作,当内存温度升高到一定温度,就不能正常工作,导致死机或重启。
②内存芯片轻微损坏时,开机可以通过自检(设置快速启动不全面检测内存),也可以进入正常的桌面进行正常操作,当运行一些I/O吞吐量大的软件(媒体播放、游戏、平面/3D绘图)时就会重启或死机。
解决办法:更换内存。
③把内存的CAS值设置得太小也会导致内存不稳定,造成系统自动重启。一般最好采用BIOS的缺省设置,不要自己改动。
3.CPU的温度过高或者缓存损坏
①CPU温度过高常常会引起保护性自动重启。温度过高的原因基本是由于机箱、CPU散热不良,CPU散热不良的原因有:散热器的材质导热率低,散热器与CPU接触面之间有异物(多为质保帖),风扇转速低,风扇和散热器积尘太多等等。还有P2/P3主板CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏,主板上的BIOS有BUG在某一特殊条件下测温不准,CMOS中设置的CPU保护温度过低等等也会引起保护性重启。
②CPU内部的一、二级缓存损坏是CPU常见的故障。损坏程度轻的,还是可以启动,可以进入正常的桌面进行正常操作,当运行一些I/O吞吐量大的软件(媒体播放、游戏、平面/3D绘图)时就会重启或死机。
解决办法:在CMOS中屏蔽二级缓存(L2)或一级缓存(L1),或更换CPU排除。
4.AGP显卡、PCI卡(网卡、猫)引起的自动重启
①外接卡做工不标准或品质不良,引发AGP/PCI总线的RESET信号误动作导致系统重启。
②还有显卡、网卡松动引起系统重启的事例。
5. 并口、串口、USB接口接入有故障或不兼容的外部设备时自动重启
①外设有故障或不兼容,比如打印机的并口损坏,某一脚对地短路,USB设备损坏对地短路,针脚定义、信号电平不兼容等等。
②热插拔外部设备时,抖动过大,引起信号或电源瞬间短路。
6.光驱内部电路或芯片损坏
光驱损坏,大部分表现是不能读盘/刻盘。也有因为内部电路或芯片损坏导致主机在工作过程中突然重启。光驱本身的设计不良,FireWare有Bug。也会在读取光盘时引起重启。
7.机箱前面板RESET开关问题
机箱前面板RESET键实际是一个常开开关,主板上的RESET信号是 5V电平信号,连接到RESET开关。当开关闭合的瞬间, 5V电平对地导通,信号电平降为0V,触发系统复位重启,RESET开关回到常开位置,此时RESET信号恢复到 5V电平。如果RESET键损坏,开关始终处于闭合位置,RESET信号一直是0V,系统就无法加电自检。当RESET开关弹性减弱,按钮按下去不易弹起时,就会出现开关稍有振动就易于闭合。从而导致系统复位重启。
解决办法:更换RESET开关。
还有机箱内的RESET开关引线短路,导致主机自动重启。
8. 主板故障
主板导致自动重启的事例很少见。一般是与RESET相关的电路有故障;插座、插槽有虚焊,接触不良;个别芯片、电容等元件损害。
三、其他原因
1.市电电压不稳
①计算机的开关电源工作电压范围一般为170V-240V,当市电电压低于170V时,计算机就会自动重启或关机。
解决方法:加稳压器(不是UPS)或130-260V的宽幅开关电源。
②电脑和空调、冰箱等大功耗电器共用一个插线板的话,在这些电器启动的时候,供给电脑的电压就会受到很大的影响,往往就表现为系统重启。
解决办法就是把他们的供电线路分开。
2.强磁干扰
不要小看电磁干扰,许多时候我们的电脑死机和重启也是因为干扰造成的,这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰,也有来自外部的动力线,变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良,就会出现主机意外重启或频繁死机的现象。
3、交流供电线路接错
有的用户把供电线的零线直接接地(不走电度表的零线),导致自动重启,原因是从地线引入干扰信号。
4.插排或电源插座的质量差,接触不良。
电源插座在使用一段时间后,簧片的弹性慢慢丧失,导致插头和簧片之间接触不良、电阻不断变化,电流随之起伏,系统自然会很不稳定,一旦电流达不到系统运行的最低要求,电脑就重启了。解决办法,购买质量过关的好插座。
5. 积尘太多导致主板RESET线路短路引起自动重启。
四、部分实例
1. CPU二级缓存坏的实例
一台几年前配置的兼容机:K6-2 200MHz CPU,采用VX-Pro 芯片组的主板,两根16MB 72线EDO内存,Windows 98操作系统。在出现蓝天白云画面后自动重启,安全模式同样无法进入,只能进入MS-DOS模式。笔者猜想由于内存条质量问题导致电脑重启的可能性较大,所以首先更换同型号内存条测试,故障依旧。再更换电源仍无法解决问题。排除到最后只剩下主板、CPU和显卡,试过显卡没有问题后,苦于找不到能安装K6-2 200MHz CPU的旧主板只能作罢。
当时也怀疑过BIOS设置可能有误,试过恢复到缺省值,也未能解决问题。过了几天,再次摆弄电脑时,无意进入BIOS并将CPU Internal Cache一项设为Disable,保存退出后重启,系统竟然可以启动了!由此估计应当是CPU的缓存有问题,于是再将缓存设置为打开状态并启动电脑,果然系统又不能正常启动了。由于将缓存关闭后大幅度降低了CPU的性能,所以Windows 98在启动和运行程序时比以往慢了许多,最后换了一块CPU才算解决问题
2. 电源故障的实例
笔者上班的地方计算机每天都要开着(因为上网的人多),十天半月不关机是常事。在如此高的工作强度下,硬件设备的故障率也很高。
故障现象:两台兼容机,一台CPU为Athlon XP 1700 ,一台CPU为P4 1.7GHz,主机电源均为世纪之星电源。当计算机处于满负荷状态运行一段时间后(此时CPU使用率保持在100%,硬盘也在大量读写数据),经常性地自动重启。其中一台在挂接一块60GB硬盘和一块80GB硬盘时,出现供电不足的现象。
故障分析处理:由于这两台计算机平时用于文档编辑、上网等一般工作时正常,只有进行大量计算时才出问题。开始怀疑是CPU温度过高所致,但检测表明温度正常。检查硬盘发现,其中一块硬盘出现了坏道,但是在更换硬盘重装系统后故障依旧,看来硬盘出现坏道很可能是计算机经常非正常重启导致的。在更换新电源后,故障消失。
拆开两个旧电源,发现其中一个电源的两个相同型号的电解电容(3300μF/10V)顶端有黄褐色的颗粒状凝结物,另一个电源的两个不同型号的电解电容(1000μF/16V,3300μF/16V)顶端也有黄褐色的颗粒状凝结物,这是电容被击穿漏液所导致的。在电子市场花钱购买了相同型号的电容更换后,经测试均恢复正常。这里提醒一下,千万别把电容正负极接反了! 事后分析发现,笔者单位电网常因检修或用电不当突然停电,导致配件上的电容被击穿,一块主板也曾经在一次突然停电后罢工,检查发现几个大电解电容被击穿漏液,更换电容后恢复正常。
3. 显卡接触不良的实例
故障现象:朋友电脑配置为明基BenQ 77G的显示器、技嘉8IRX的主板、P4 1.6G CPU、80G硬盘、小影霸速配3000显卡、全向极云飞瀑内猫、主板自带AC97的声卡。因装修房子,要挪动电脑,就把电脑后的连线都拆了。后来自己接好线后,电脑却怎么也启动不起来了。电脑自检正常,闪过主板LOGO后,出现WINDOWS 98启动画面,接着光标闪动,一切很正常,可是约摸着快要进入系统的时候,电脑突然“嘀”的一声重启动了,重新启动几次都是这样。
故障分析:笔者的这位朋友是个纯纯的“菜鸟”,初步判断可能是一般性的接线问题,很有可能是鼠标和键盘接反导致的。先是检查了一遍电脑接线,没有问题,会不会是接线松动呢?重新把所有电脑连线接了一遍
故障依旧。启动时选安全模式能进入系统,运行也正常,重启后进入BIOS里查看CPU温度,在正常范围内,排除因CPU过热导致的重启。朋友也没安装新的硬件,故排除电源供电不足导致重启现象。引起故障的原因可能有以
下四个方面:一是软件冲突;二是显示分辨率或刷新率设置高于额定的值;三是显卡和其它硬件冲突、或驱动程序问题导致;四是显卡故障。
故障排除:问朋友发生故障前对机器进行了哪些操作?朋友说拆机前一直都用的很好,没有安装过新软件。没有蛛丝马迹,只有从上面的四个可能的故障原因里排查。重启后,进入安全模式,运行msconfig命令,把启动项里不是操作系统所必需的项都去掉,重启后,故障依旧。看来不是软件安装导致的。接下来看看是不是分辨率和刷新率过高,在安全模式下,将监视器删除,重启动,故障依旧。最后问题都集中在显卡身上了。再次进入安全模式,删除显卡驱动程序,重启动后,跳过显卡驱动安装,能进入正常启动模式,看来故障是驱动程序的问题或显卡与其它硬件冲突引起的了。下载一个新的驱动看能不能解决这个问题呢?拨号上网,机器突然又重启了,难道猫也坏了吗?这可怎么办,真的山穷水复了吗?这台电脑是因为拆了以后就启不起来了,显卡和猫总不会因搬一下机器就坏了吧?想到搬运机器,是不是因为拆装电脑时把显卡碰松导致接触不良而引起的故障呢?抱着最后试一试的心理,打开机箱,将显卡和猫拔出重新插紧安好,装好显卡驱动,重启,竟然看到美丽的桌面了,试着拨号,也没问题了,故障排除了。原来故障是显卡接触不良的导致。
小结:以上显卡接触不良导致电脑不能进入系统故障,现象有点类似显卡故障的症状,如果不从细小问题入手,还真难一时半会解决,甚至会怀疑是硬件故障,而大费周折。
如果是偶然现象,不必放在心上,多次重启,就有问题了,请点我的电脑右键,点属性,点高级,点启动和故障恢复设置,找系统失败,重新启动前的钩去掉,点确定就OK了
五、我的电脑为什么在自动关机之后重启出现如下怪现状:
第一种情况:在滚动条进行时关机,反复如此(XP系统,那是在半年前的情况)
第二种情况:还没有进行自检即关机,反复如此(XP系统,今天的事)
以前我遇到过xp盗版升级而像你那样的 你不是升级或者打什么不定了吧 !
重起 按f8键进安全模式能进的去么 ?
如果能的话 开始菜单--运行--输入:msconfig --启动组 把怀疑的的东西鄯善掉 不让他启动 在试 !
在安全模式下别忘了杀杀毒 ! 看看也可能是病毒和木马的原因的
关于电脑的问题,求大神解答,在线等,急!
新建笔记本把文件名字或者路径保存下来,关机用诊断模式开机然后再删除就可以了
如果发现木马,首先要做的是关掉后台运行的程序,对吗?
不对。
针对于顽固木马来说,后台进程是带有第三方驱动保护无法关闭的,另外木马带有伪装性,一般是找不到真正的木马进程的,如果发现木马首要做的就是进入安全模式,然后对电脑进行病毒查杀,因为安全模式禁止第三方驱动自启动,所以是最安全的。
在安全模式下,打开电脑管家等带有本地杀毒引擎的杀毒软件如腾讯电脑管家,对电脑进行病毒查杀,查杀病毒后再重启电脑即可。
扩展资料:
第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。
第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。
第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。
0条大神的评论