文章大纲：

• 1、如何查找木马或者病毒的病毒文件
• 2、有什么办法可以知道自己的Exe文件是否被病毒或木马感染？？
• 3、如何查看EXE文件是否捆绑了恶意木马,,,,
• 4、怎样查看木马及病毒文件
• 5、如何才能知道电脑有没有中“木马病毒”？
• 6、怎么从进程中找出病毒和木马

如何查找木马或者病毒的病毒文件

木马病毒危及我们的电脑安全，那么如何清除木马病毒就成了一个很重要的问题。想删除木马病毒就首先要查找到木马病毒。那么如何查找木马病毒呢？下面我们来看看如何查找木马病毒。 查找木马病毒可以使用软件查找也可以使用手工查找。 使用软件查杀就是我们通常所说的使用杀毒软件进行查杀。常用的防木马病毒的软件有诺顿，瑞星，金山毒霸等。如果只是针对木马的话，也可以使用木马克星之类的软件。使用软件进行查找比较简单，只要升级杀软的病毒库然后点击查杀就可以了。我们这里不再多说。 下面我们来看一下手工查找木马病毒的 *** 。 启动组、Win.ini、System.ini、注册表等是木马比较爱潜伏的地方。 在win.ini文件中，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，如：run=c:\windows\GAME.exe load=c:\windows\GAME.exe 那么这个GAME.exe 文件就很可疑了。而system.ini文件中，在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 我们还可以查看一下我们电脑中的启动组，发现可疑的程序的话也很有可能是木马病毒。然后我们清除相应的项就可以了。

希望采纳

有什么办法可以知道自己的Exe文件是否被病毒或木马感染？？

表现：

1、一般情况下，病毒感染Exe文件后，多数都会出现“创建时间”或“修改时间”改变，具体可以推前或推后，但也有部分病毒时间不变。

2、文件变大了一些

3、图标发生改变，如图标虚化、图表分辨率变小等

对策：

1、杀毒，如果认不出感染后的病毒，必须升级病毒库，或向杀毒公司提交病毒文件，促其升级。

2、对个别的文件可以采取反捆绑软件或脱壳工具尝试分离。

补充回答:

在C:\WINDOWS\system32\dllcache目录下的svchost.exe只是一个备份文件,2007年10月13日应该是你的装机时间,2004年8月23日应该是这个文件的编写时间(造系统).svchost.exe的原版文件应该在C:\WINDOWS\system32目录下,在你的系统上应该创建时间和修改时间也是2004年8月23日.

如果你的系统是2007年10月13日装的话应该没有问题.如果不是,则在C:\WINDOWS\system32\dllcache目录下的svchost.exe可能被修改过.

另外,svchost.exe文件的运行本身没有很大的意义,它本是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。也就是说关键的功能在于其加载的DLL文件,这比较复杂,不是几句话就能帮你解决的事情,建议你如果出问题的话还是重新装系统好了.

你如果非要自己动手清除含病毒的DLL文件的话,可以用比较高级一点的进程管理软件，如“windows优化大师”进程管理器,卡卡等.通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现异常DLL文或其执行路径为不平常的位置,就可以进行检测和处理.但前提是你要有看得出异常DLL文件的能力.

我的话也只能说到这里了,没办法在这里帮你解决!

如何查看EXE文件是否捆绑了恶意木马,,,,

您好

1，需要杀毒软件检测一下才能知道是否捆绑恶意木马。

2，您可以到电脑管家官网下载一个电脑管家。

3，安装完成后，右击EXE可执行程序【扫描病毒（电脑管家）】扫描完病毒后，如果有木马病毒的话，电脑管家是可以检测出来的，如果没有木马病毒，您就可以放心打开了。

4，电脑管家拥有全国更大的云病毒库，如果包含恶意木马病毒，电脑管家的云查杀引擎，一定可以鉴定出来的。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

怎样查看木马及病毒文件

木马病毒危及我们的电脑安全，那么如何清除木马病毒就成了一个很重要的问题。想删除木马病毒就首先要查找到木马病毒。那么如何查找木马病毒呢？下面我们来看看如何查找木马病毒。 查找木马病毒可以使用软件查找也可以使用手工查找。 使用软件查杀就是我们通常所说的使用杀毒软件进行查杀。常用的防木马病毒的软件有诺顿，瑞星，金山毒霸等。如果只是针对木马的话，也可以使用木马克星之类的软件。使用软件进行查找比较简单，只要升级杀软的病毒库然后点击查杀就可以了。我们这里不再多说。 下面我们来看一下手工查找木马病毒的 *** 。 启动组、Win.ini、System.ini、注册表等是木马比较爱潜伏的地方。 在win.ini文件中，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，如：run=c:\windows\GAME.exe load=c:\windows\GAME.exe 那么这个GAME.exe 文件就很可疑了。而system.ini文件中，在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 我们还可以查看一下我们电脑中的启动组，发现可疑的程序的话也很有可能是木马病毒。然后我们清除相应的项就可以了。

如何才能知道电脑有没有中“木马病毒”？

具体如下:

一、CPU的利用率在电脑没有处理任何任务的时候通常都是百分之零到百分之一的如果系统没有运行任何程序和任务而且利用率超过10%那一定是有古怪的，这个时候就千万要注意了。

二、进程，电脑在没有任何处理任务和程序的时候一般进程都是很熟悉的，如果进程中有很多莫名其妙的点exe的进程那么这个时候可要注意了。一般系统进程都是很标准的英文或者英文所限，例如alg.exe，如果实在无法判断某一个进程是否为病毒木马程序，可以把这个进程的名字记下来，百度一下马上就会有答案了！

三、看 *** 流量及端口号

看 *** 流量这里以360防火墙为例吧

怎么从进程中找出病毒和木马

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的 *** 。 但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。

一、病毒进程隐藏三法

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.1 以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现 过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别 了么?这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字 之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个 iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

1.2 偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为 svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件 这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是 C:WINNTsystem32目录)，如果病毒将自身复制到“C:WINDOWS”中，并改名为svchost.exe，运行后，我们在“任务管理器” 中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?

1.3 借尸还魂

除了上文中的两种 *** 外，病毒还有一招终极********借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件 插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困 难的。

二、系统进程解惑

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

2.1 svchost.exe

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为 了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序 指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook” 服务，在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务，可 以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进 程，另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果 svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测 *** 也很简单，使用一些进程管理工具，例如Windows优化大师的进 程管理功能，查看svchost.exe的可执行文件路径，如果在“C:WINDOWSsystem32”目录外，那么就可以判定是病毒了。

2.2 explorer.exe

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们 经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任 务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理 计算机中的资源。

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:Windows”目录，除此之外则为病毒。