可通过五种系统内置方法检测病毒:一查异常网络连接,二审启动项与服务,三扫注册表Run键值,四析进程与服务路径,五检DNS缓存异常解析。
如果您发现电脑运行异常、响应迟缓、频繁弹出广告或出现未知进程,可能是病毒已悄然运行。以下是几种无需安装额外软件即可执行的病毒检测简易方法:
一、检查异常网络连接
病毒常通过外连服务器回传数据或接收指令,使用系统内置命令可快速识别可疑通信行为。需确保其他联网程序(如浏览器、微信、下载工具)已关闭,以排除干扰。
1、按下 Win + R 打开“运行”窗口,输入 cmd 并回车启动命令提示符。
2、在命令行中输入 netstat -an 并回车,等待结果输出。
3、逐行查看状态为 ESTABLISHED 或 LISTENING 的条目,重点关注非本地(非127.0.0.1或::1)且端口号非常规(如6667、4444、5555等)的IP地址。
4、将可疑IP复制到浏览器,在主流威胁情报平台(如VirusTotal、URLhaus)中查询其历史恶意记录。
二、审查启动项与服务
病毒常将自身注册为开机启动项或伪装成系统服务实现持久化驻留。通过系统配置工具可直观筛选非微软签名的可疑条目。
1、按 Win + R,输入 msconfig 并回车。
2、切换至“服务”选项卡,勾选 隐藏所有Microsoft服务,再点击“全部禁用”。
3、切换至“启动”选项卡,点击“打开任务管理器”,在“启动应用”列表中查找名称含随机字符、无明确厂商、图标缺失或路径指向AppData、Temp等用户目录的项目。
4、对任一可疑启动项右键选择“属性”,查看“目标”字段是否指向.exe文件,且该路径是否为系统标准路径(如C:\Windows\System32)之外的位置。
三、扫描注册表自启动键值
病毒惯用注册表Run键值实现开机自动加载,该位置无需服务权限即可执行,是高频感染点。需重点核查当前用户与本地机器两级启动路径。
1、按 Win + R,输入 regedit 并回车,确认UAC提示。
2、在地址栏依次粘贴并访问以下两个路径:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、分别检查右侧窗格中每个字符串值的“数值数据”内容,确认其指向的可执行文件是否存在、路径是否合法、文件名是否含混淆特征(如svch0st.exe、winlogonx.exe)。
4、若发现无法识别的条目,先记录其完整路径,再在文件资源管理器中定位该文件,右键属性查看数字签名及创建/修改时间是否异常。
四、分析进程与服务路径
病毒进程常驻内存但刻意规避常规任务管理器显示,使用WMIC命令可绕过部分隐藏机制,获取完整进程和服务路径信息,便于溯源验证。
1、以管理员身份运行命令提示符:右键“开始”按钮 → 选择“命令提示符(管理员)”或“Windows PowerShell(管理员)”。
2、输入以下命令并回车:wmic process get name,processid,executablepath,commandline /format:csv
3、滚动查看输出结果,筛选 ExecutablePath 列中路径不在C:\Windows\System32、C:\Program Files等可信目录下的进程。
4、对可疑进程ID(ProcessId),再执行 tasklist /svc /fi "pid eq XXXX"(将XXXX替换为实际PID),确认其是否关联异常服务。
5、同步执行 wmic service get name,pathname,startmode,state /format:csv,检查PathName列中是否存在指向临时文件夹、用户文档或无扩展名路径的服务。
五、检查DNS缓存异常解析记录
某些病毒会劫持系统DNS缓存,将正常域名重定向至恶意IP,导致访问被篡改或隐私泄露。该行为可在未联网状态下通过本地缓存快速识别。
1、打开命令提示符(无需管理员权限)。
2、输入命令:ipconfig /displaydns 并回车。
3、在输出结果中查找 记录名称 为常见网站(如baidu.com、qq.com、microsoft.com)但对应 记录地址 明显不属于该服务商网段的条目。
4、特别注意解析结果中出现大量短生命周期(TTL值极低)、域名拼写近似(如g00gle.com、micros0ft.com)或IP归属地为高风险国家的记录。
