三个命令检测电脑中是否中了木马

查木马的简单方法当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端（就是被种了木马的机器了）打开监听端口来等待连接。

例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000则是使用54320等等。

那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。

以下是详细方法介绍。

1．Windows本身自带的netstat命令关于netstat命令，我们先来看看windows帮助文件中的介绍：Netstat显示协议统计和当前的TCP/IP 网络连接。

该命令只有在安装了TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]参数-a显示所有连接和侦听端口。

服务器连接通常不显示。

-e显示以太网统计。

该参数可以与-s 选项结合使用。

-n以数字格式显示地址和端口号（而不是尝试查找名称）。

-s显示每个协议的统计。

默认情况下，显示TCP、UDP、ICMP 和IP 的统计。

-p 选项可以用来指定默认的子集。

-p protocol显示由protocol 指定的协议的连接；protocol 可以是tcp 或udp。

如果与-s 选项一同使用显示每个协议的统计，protocol 可以是tcp、udp、icmp 或ip。

-r显示路由表的内容。

interval重新显示所选的统计，在每次显示之间暂停interval 秒。

按CTRL+B 停止重新显示统计。

如果省略该参数，netstat 将打印一次当前的配置信息。

好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。

现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。

进入到命令行下，使用netstat命令的a和n两个参数：C:\>netstat -anActive ConnectionsProto Local Address Foreign Address StateTCP 0.0.0.0:80 0.0.0.0:0 LISTENINGTCP 0.0.0.0:21 0.0.0.0:0 LISTENINGTCP 0.0.0.0:7626 0.0.0.0:0 LISTENINGUDP 0.0.0.0:445 0.0.0.0:0UDP 0.0.0.0:1046 0.0.0.0:0UDP 0.0.0.0:1047 0.0.0.0:0解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address 是本地计算机的IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的IP 地址和端口号，State则是表明TCP 连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。

六招教你检测是否中病毒木马介绍六招教你检测病毒木马介绍：六招教你检测病毒木马一、进程首先排查的就是进程了，方法简单，开机后，什么都不要启动!第一步：直接打开任务管理器计算机爱好者，学习计算机基础，电脑入门，请到本站PS：如果任务管理器打开后一闪就消失了，可以判定已经中毒;如果提示已经被管理员禁用，则要引起警惕!第二步：打开冰刃等软件，先查看有没有隐藏进程冰刃中以红色标出，然后查看系统进程的路径是否正确。

PS：如果冰刃无法正常使用，可以判定已经中毒;如果有红色的进程，基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程，也可以判断已经中毒。

第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。

PS：Wsyscheck会用不同颜色来标注被注入的进程和正常进程，如果有进程被注入，不要着急，先确定注入的模块是不是病毒，因为有的杀软也会注入进程。

六招教你检测病毒木马二、自启动项目进程排查完毕，如果没有发现异常，则开始排查启动项。

第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有 Microsoft 服务”复选框，然后逐一确认剩下的服务是否正常可以凭经验识别，也可以利用搜索引擎。

PS：如果发现异常，可以判定已经中毒;如果msconfig无法启动，或者启动后自动关闭，也可以判定已经中毒。

第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。

第三步，用Autoruns等，查看更详细的启动项信息包括服务、驱动和自启动项、IEBHO等信息。

PS：这个需要有一定的经验。

六招教你检测病毒木马三、网络连接ADSL用户，在这个时候可以进行虚拟拨号，连接到Internet了。

然后直接用冰刃的网络连接查看，是否有可疑的连接，对于IP地址，可以到相关网站查询，对应的进程和端口等信息可以到Google或百度查询。

简单几个命令查看是否中毒楼主当你感觉自己的系统中病毒了，第一反应就是请出杀毒软件猛查一遍。

如果想快速判定当前系统的安全状况，我们可以通过“命令提示符”中的几个命令来检测系统是否中毒，其速度远远超过用杀毒软件来确认。

小提示：常见的中病毒现象表现为：系统变得缓慢、账号被盗、打开网页需要等半天、不断弹出广告窗口、文件不能执行等，部分强势病毒会让你的杀毒软件和安全软件失效。

当你遇到以上现象时，首要任务是找出并终止病毒进程，让病毒暂时停止工作，接着再利用文中介绍的方法配合杀毒软件进行彻底查杀。

使用杀毒软件时，建议重启电脑进入安全模式下进行全盘查杀，做到斩草除根。

进程查询——tasklistT asklist命令是用来显示运行在本地或远程计算机上所有进程的命令，使用方法为：点击“开始”菜单→“运行”，输入“cmd”运行“命令提示符”，输入命令“Tasklist”并回车，当前系统中所有的进程就都显示出来了。

我们要做的就是查看这些进程中是否有陌生进程，当然这需要你有一点手工杀毒的经验。

找到危险进程后，就可以使用“Tasklist”命令的搭档——“Taskkill”命令结束进程。

首先通过“Tasklist”命令查询危险进程的PID值，然后输入命令“Taskkill /pid 1234”结束进程，1234即危险进程的PID值。

进程查询——tasklist小贴士:T askkill可以结束“任务管理器”中无法结束的进程，包括系统进程，对于结束顽固病毒的进程效果很不错。

服务查询——net start不少病毒会将自身注册为系统服务，以此实现随系统启动。

要查询系统中的服务我们只需在“命令提示符”中输入“net start”命令就可以了，回车后将会显示系统中所有的服务。

停止服务的方法为“net stop 服务名”，例如输入：“net stop G_Server”并回车，便可以结束灰鸽子木马的服务。

开启服务的命令则为“net stop 服务名”。

电脑中是否已被安装了木马的简单检测方法2009年07月10日星期五 15:06众所周知，木马从来都以它的隐蔽性让人防不胜防，更不易让人察觉的。

对于刚刚接触电脑不久的人来说，尤其是当手头上还没有完善的工具来检测它们的时候。

其实，我们不妨可以先用一些基本的命令就可以查出电脑是否中了木马，这样可以在保护网络安全上起到很大的作用。

现在，笔者就教给大家三个简单的检测方法。

一、检测网络连接如果我们怀疑自己的电脑上可能已经被别人安装了木马，或者是中了病毒，但是到底是不是真有这样的事情发生呢？这时我们完全可以使用Windows自带的网络命令来看看都有谁目前在连接我们的计算机。

方法就是在命令行下输入“netstat -an”这个命令就能看到所有和本地计算机建立连接的IP，当我们运行这个命令后，DOS窗口内显示出来的内容主要包含以下四个部分:Proto(连接方式)、Local Address(本地连接地址)、Foreign Address(和本地建立连接的地址)、State(当前端口状态)。

其中State(当前端口状态)下面一般显示有:LISTENING(侦听或监听)、ESTABLISHED(已连接)、CLOSE_WAIT(关闭等待)、TIME_WAIT(时间等待)、SYN_SENT(同步传送)、LAST_ACK(最后确认)。

通过“netstat -an”这个命令所显示出来的详细信息，我们就可以完全监控电脑上的所有和本地计算机建立连接的IP，让我们看到目前都有谁在连接我们的计算机，具体哪些是我们自己开启的连接，哪些是我们不请自来而非法访问的，从而来达到安全控制计算机的目的。

二、停用不明服务当我们在某一天系统重新启动后，却突然发现电脑速度明显变慢了，不管怎么优化都还是慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵我们的计算机后给开放了特别的某种服务，比如IIS 信息服务等，这样我们的杀毒软件是查不出来的。

但是我们先别着急，可以通过“net start”这个命令来查看系统中究竟都有哪些服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地来停止这个服务了。

使用CMD命令行工具进行病毒和恶意软件检查的方法在日常使用电脑的过程中，我们时常会遇到病毒和恶意软件的困扰。

这些恶意程序可能会窃取个人信息、破坏系统稳定性，甚至对我们的电脑造成无法挽回的损坏。

为了保护我们的电脑安全，我们需要及时发现并清除这些威胁。

在这篇文章中，我将介绍如何使用CMD命令行工具进行病毒和恶意软件检查的方法。

首先，我们需要打开CMD命令行工具。

在Windows操作系统中，我们可以通过按下Win+R键，然后输入“cmd”来打开CMD窗口。

或者，我们也可以在开始菜单中搜索“CMD”并点击打开。

接下来，我们需要使用一些特定的命令来进行病毒和恶意软件检查。

以下是一些常用的命令和它们的功能：1. ipconfig：通过输入“ipconfig”命令，我们可以查看当前网络连接的IP地址和其他网络配置信息。

这有助于我们确定是否有其他设备在我们的网络上进行恶意活动。

2. netstat：通过输入“netstat”命令，我们可以查看当前系统的网络连接状态。

这个命令可以帮助我们发现是否有恶意软件正在与外部服务器进行通信。

3. tasklist：通过输入“tasklist”命令，我们可以查看当前正在运行的进程列表。

通过检查这个列表，我们可以发现是否有未知的、可疑的进程正在运行。

4. sfc /scannow：通过输入“sfc /scannow”命令，我们可以运行系统文件检查器，以扫描和修复系统文件中的任何损坏。

这有助于我们排除病毒或恶意软件对系统文件的破坏。

5. taskkill：通过输入“taskkill”命令，我们可以终止指定的进程。

如果我们发现了可疑的进程，我们可以使用这个命令来停止它们的运行。

除了上述命令，我们还可以使用一些第三方的安全工具来进行病毒和恶意软件检查。

这些工具通常提供更多的功能和更全面的扫描，可以更有效地保护我们的电脑安全。

然而，我们需要注意的是，CMD命令行工具虽然可以帮助我们进行病毒和恶意软件检查，但它并不能完全替代专业的安全软件。

检测和删除系统中的木马（Trojan Horse）教程一、木马（Trojan Horse）介绍木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。

此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。

后来想出了一个木马计，让士兵藏匿于巨大的木马中。

大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。

木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。

在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。

虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。

而且实际的使用效果也并不理想。

比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。

本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是的病毒库）。

因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。

用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。

二、木马工作的原理在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。

当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把 Form的Visible属性调整为False，ShowInTaskBar也设为False。

如何判断电脑是否被病毒入侵如何判断电脑是否被病毒入侵大家在使用电脑的时候，最担心的就是电脑病毒。

虽然电脑有杀毒工具保护，但是在强大的杀毒工具也不能够保证电脑不被病毒入侵。

那么，有什么方法能够判断电脑是否被病毒入侵了呢？今天店铺就教大家如何判断电脑是否被病毒入侵的方法。

1、按Ctrl+Shift+Delete键（同时按此三键），调出windows 任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称（这需要经验），如果这些进程是病毒的话，以便于后面的清除。

暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。

点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。

2、查看windows当前启动的服务项，由控制面板的' 管理工具里打开服务。

看右栏状态为启动启动类别为自动项的行;一般而言，正常的windows服务，基本上是有描述内容的（少数被骇客或蠕虫病毒伪造的除外），此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C：/winnt/system32/explored.exe，计算机中招。

有一种情况是控制面板打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。

3、运行注册表编辑器，命令为regedit或regedt32，查看都有那些程序与windows一起启动。

主要看Hkey_Local_Machine/Software/MicroSoft/Windows/CurrentVers ion/Run和后面几个 RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。

WindowsXp运行msconfig也起相同的作用。

随着经验的积累，你可以轻易的判断病毒的启动项。

4、用浏览器上网判断。