电脑感染病毒诊断方法

一、根据电脑故障症状判断

• 系统故障方面
  • 经常死机：如果是病毒导致，可能是病毒打开了许多文件或占用了大量内存；不过也可能是不稳定因素，像内存质量差、硬件超频性能差等，或者运行了大容量软件占用大量内存和磁盘空间、使用有很多BUG的测试软件、硬盘空间不够等原因。若运行网络软件时经常死机，也许是网络速度慢、程序太大或者工作站硬件配置低所致。
  • 系统无法启动：病毒可能修改了硬盘的引导信息，或删除了某些启动文件，但也可能是硬件故障导致，例如主板故障等。
  • 系统运行速度慢：病毒会占用内存和CPU资源，在后台运行大量非法操作；但也可能是硬件配置低、打开程序太多或太大、系统配置不正确，若是运行网络程序，可能是机器配置低或者网络忙、硬盘空间不够用来运行程序时作临时交换数据用。
• 文件相关方面
  • 文件打不开：病毒可能修改了文件格式或者文件链接位置，但也可能是文件损坏、硬盘损坏、文件快捷方式对应的链接位置变化、原来编辑文件的软件被删除，如果是局域网中还可能是服务器中文件存放位置变化而工作站没及时刷新服务器内容（长时间打开资源管理器）。
  • 经常报告内存不够：病毒可能非法占用大量内存，但也可能是打开大量软件、运行需内存资源的软件、系统配置不正确或者内存本身不够（目前基本内存要求为128M）等，在局域网中如果系统管理员为用户设置了工作站用户私人盘使用空间限制，查看的是整个网络盘大小但私人盘容量已用完也会出现这种情况。
  • 数据丢失：病毒可能删除了文件，但也可能是硬盘扇区损坏、因恢复文件而覆盖原文件，如果是网络上的文件，可能是其他用户误删除。
• 其他异常方面
  • 软盘等设备未访问时出读写信号：可能是病毒感染，也可能是软盘取走了还在打开曾经在软盘中打开过的文件。
  • 出现大量来历不明的文件：可能是病毒复制文件，也可能是软件安装中产生的临时文件或者软件的配置信息及运行记录。
  • 启动黑屏：可能是病毒感染，像1998年的CIH病毒就会导致这种情况；但也可能是显示器故障、显示卡故障、主板故障、超频过度、CPU损坏等原因。
  • 系统自动执行操作：病毒可能在后台执行非法操作，但也可能是用户在注册表或启动组中设置了有关程序的自动运行，或者某些软件安装或升级后需自动重启系统。

二、使用杀毒软件检测

• Win10自带杀毒软件（Windows Defender）
  1. 打开Windows Defender安全中心：在桌面左下角的【开始】菜单中点击Windows Defender安全中心图标（盾牌形状图标）。
  2. 选择病毒和威胁防护：在此选项卡中能找到所有与病毒和恶意软件相关的设置。
  3. 运行新的高级扫描：在病毒和威胁防护页面中，向下滚动找到扫描选项部分，点击运行新的高级扫描。Windows Defender提供了三种常用扫描类型：
     • 完全扫描：最彻底的病毒扫描方式，会扫描整个计算机以寻找任何潜在的病毒和恶意软件。
     • 自定义扫描：如果只想扫描特定文件夹或驱动器，可以选择自定义扫描，扫描之前可以指定要扫描的文件夹或驱动器。
     • Windows Defender脱机版扫描：一种特殊的扫描模式，可以在系统启动之前进行离线病毒扫描。
• 其他知名杀毒软件：选择知名的杀毒软件，并保持其及时更新，这些杀毒软件可以实时监测电脑上的文件和进程。同时，定期进行全盘扫描，因为有些病毒可能隐藏在系统中，很难被即时发现，全盘扫描可以彻底检查电脑所有文件，包括隐藏和被感染的文件，确保没有任何病毒遗漏。

三、借助专业检测方法

• 软件仿真扫描法：专门用来对付变形病毒。软件仿真技术是成功地仿真CPU执行，在DOS下伪执行病毒程序，安全并确实地将其解密，使其显露本来的面目，再加以扫描。
• 综合对比法：将每个程序的文件名、大小、时间、日期及内容，综合为一个检查码，附于程序后；再利用此对比系统，追踪记录每个程序的检查码是否遭更改，判断是否感染病毒。
• 搜索法：用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒。
• 分析法：包括静态分析和动态分析。利用反汇编工具和DEBUG等调试工具进行防病毒专业技术人员所使用的一整套剖析方法。可发现新病毒，提取特征字串，制定防杀措施方案。
• 人工智能陷阱技术和宏病毒陷阱技术：监测计算机行为的常驻式扫描技术。它将所有病毒所产生的行为，一旦发现内存中的程序有任何不当的行为，系统就会有所警觉，并告知使用者。宏病毒陷阱技术是结合了搜索法和人工智能陷阱技术，依靠行为模式来侦测已知及未知的宏病毒。不过人工智能陷阱技术的缺点是程序设计难，且不易考虑周全。

四、查看异常进程或网络连接

电脑感染病毒后，常会出现一些异常行为，如系统变慢、频繁弹窗、自动重启等。如果发现电脑有这些异常表现，可以利用任务管理器或资源监视器来查看异常进程或网络连接，初步判断是否感染病毒。

五、使用在线病毒扫描工具

这些工具通常由知名安全厂商提供，能够通过云端技术快速检测病毒，并给出相应的处理建议。使用在线病毒扫描工具可以提供第三方的确诊结果，增强检测准确性。