網路中毒去哪裡檢測

Ⅰ 怎樣檢測路由器中中了病毒

路由器是否中病毒主要看路由是否能連上網路。

防止蠕蟲的入侵措施：
1.使用強健而安全的口令
要知道，路由器蠕蟲依賴於強力字典攻擊(不斷地努力猜測口令)，所以我們應當使用不易被猜測的口令。不要使用什麼「admin」、「router」、「12345」等作為路由器的口令，而要使用一種混合性的組合，如rDF4m9Es0yQ3ha等。其中至少要包括大小寫字母，並利用數字和字母。雖然這種口令不易記憶，但我們可以將其存放於可以某個文件(如文本文件)中，再用TrueCrypt、Cryptainer LE等軟體為各種保存密碼的文件加密。
2.保障遠程連接的加密
例如，盡量不要使用HTTP方式傳送，因為它使用的是明文傳送，而可考慮使用HTTPS來傳送基於Web的訪問。可以打開路由器配置程序的遠程訪問設置，選擇「https」選項。如果需要命令行才能訪問路由器，可使用SSH。因為SSH是一個加密的協議。使用加密的連接並不是防止路由器蠕蟲的必須措施，但它可以加強路由器的總體安全性。如下圖2所示：

3.改變默認埠
蠕蟲僵屍可通過這些遠程連接的默認埠侵入，如通過HTTP Web 訪問的80或8080埠、加密Web訪問的443埠、SSH的22號埠等。因此，一台在非默認埠上接收連接的路由器更為安全。很多路由器在緊挨著遠程連接設置功能的位置有一個埠(Port)欄位，在此輸入想要使用的埠號碼。例如，鍵入路由器所在位置的面向互聯網的IP地址，加上一個冒號，然後是埠號。如果是通過SSH進行連接，你需要在SSH客戶端程序的連接設置中指定埠號。

4.使用入站過濾器
其實我們可以對有些路由器進行配置，使其過濾哪些IP地址或范圍准許使用進入的連接，如此便可以阻止不在列表中的任何IP地址的蠕蟲。為此，首先，可以看一下是否可以在路由器的遠程管理設置中定義IP地址或IP地址范圍。然後，檢查路由器是否可以設置入站的連接設置。

5.保障路由器的固件最新
路由器固件所所使用的軟體也使路由器易於受到蠕蟲攻擊，因此保持路由器總是載入最新的固件版本可有助於防止這種漏洞。路由器的製造商們和固件替換項目會定期發布這些固件的更新，用以修補已知的安全漏洞。
要更新路由器的固件，應從廠商的網站下載新的鏡像。然後登錄進入路由器的配置程序，打開「Admin」/「Misc」或「System」部分，選擇最新的固件，並載入它即可。

6.清除蠕蟲：還路由器的清潔之軀
前面所討論的預防性措施可防止路由器受到蠕蟲的攻擊和危害。記住，如果不需要遠程訪問就不要啟用它。如果有必要採用此功能，我建議你把用戶名和口令復雜一些，多用一些大小寫、數字等混合的口令，並要通過SSH或HTTPS傳輸，還要考慮使用非默認埠，並盡量採用任何的入站過濾器。
如果路由器已經受到感染，肯定會發生一些不可思議的事情。例如，據報告，Psyb0t會阻止22號埠、23號埠、80號埠的通信。
要清除蠕蟲，最徹底的解決方法是將路由器恢復到出廠默認值，這樣做可以保證清除蠕蟲。按下路由器背面的復位按鈕，並且過上幾秒鍾(不同的廠商要求不一樣，如筆者的路由器要求按下30秒鍾以上才可以)，就可以恢復到出廠狀態。

Ⅱ 我的電腦用的是網通，不知道怎麼一直掉線，是不是電腦中毒了，要那去哪裡下載適合的殺毒軟體

線路老化（或者接觸不良），只能重新組線了，這個幫不了你，只能靠自己。

下面用騰訊電腦管家舉例說明（搜索「騰訊電腦管家」官網下載）
1、下載騰訊電腦管家，然後打開電腦管家——工具箱——測試網速（不要用下載測試，畢竟資源不一樣，速度不一樣，不準確的，用軟體好點）
2、是否有ARP攻擊，建議開啟防火牆（打開騰訊電腦管家實時防護）
3、是否有人惡意佔用資源（蹭網），打開電腦管家——工具箱——安全助手，查下
4、病毒木馬干擾。推薦用騰訊電腦管家殺毒看看。它擁有雲查殺引擎、反病毒引擎、金山雲查殺引擎、AVIRA查殺引擎、小紅傘和查殺修復引擎等世界一流殺毒軟體內嵌殺毒引擎！保證殺毒質量，運行殺毒軟體進行全盤殺毒並使用系統修復功能，使用系統清理功能，按照自己的需求清理電腦內的垃圾文件

其他分析
（1）MODEM故障。請觀察MODEM上的（ADSL或LINK）指示燈是否是常亮的狀態，您可以關閉MODEM電源2-3分鍾在打開（重啟MODEM），重新寬頻連接
（2）ADSL線路故障。一般情況下線路質量差：接頭多，有腐蝕或線路超長等都可能引起經常掉線：
（3）可能由於安裝的殺毒軟體或病毒防火牆防禦過高引起的，可修改防火牆設置或關閉、退出反防火牆。
（4）、有人佔用您的網路資源。這個可以用騰訊電腦管家工具箱——無限安全助手查看下
（5）、DNS查下。騰訊電腦管家工具箱——DNS優化
（6）、網卡問題，你可以嘗試更新下網卡驅動試試，若不行，建議請專業人員進行檢查。

Ⅲ 怎樣查看網路是否中毒

你有防火牆的話，它會提示你的，偶也用過區域網的，如果有人攻擊你的電腦，你應該馬上下線，以免中病毒，如果中毒了就殺毒，殺不掉的話，一般區域網都有負責的人，你可以打電話詢問它是否有人電腦中毒了，並且在攻擊別人，他那裡能查到的，如果是專門針對你用的這個區域網做的病毒，對你進行了攻擊，你可以到區域網的網站上下載專殺工具（就是外網不能進入的網站）

Ⅳ 如何檢查區域網內哪台電腦中毒了，發出攻擊。

朋友建議你在其中一台安裝360安全衛士並開啟衛士的，ARP防火牆，它會提示攔截，並列出攻擊電腦的MAC地址，你就可以根據MAC地址找到有病毒的那台電腦了，然後清理那台電腦的病毒就可以了。

Ⅳ 怎麼看出電腦是否中毒了呢

一、木馬（Trojan Horse）介紹

木馬全稱為特洛伊木馬（Trojan Horse，英文則簡稱為Trojan）。此詞語來源於古希臘的神話故事，傳說希臘人圍攻特洛伊城，久久不能得手。後來想出了一個木馬計，讓士兵藏匿於巨大的木馬中。大部隊假裝撤退而將木馬擯棄於特洛伊城下，讓敵人將其作為戰利品拖入城內。木馬內的士兵則乘夜晚敵人慶祝勝利、放鬆警惕的時候從木馬中爬出來，與城外的部隊里應外合而攻下了特洛伊城。

在計算機安全學中，特洛伊木馬是指一種計算機程序，表面上或實際上有某種有用的功能，而含有隱藏的可以控制用戶計算機系統、危害系統安全的功能，可能造成用戶資料的泄漏、破壞或整個系統的崩潰。在一定程度上，木馬也可以稱為是計算機病毒。

由於很多用戶對計算機安全問題了解不多，所以並不知道自己的計算機是否中了木馬或者如何刪除木馬。雖然現在市面上有很多新版殺毒軟體都稱可以自動清除木馬病毒，但它們並不能防範新出現的木馬病毒（哪怕宣傳上稱有查殺未知病毒的功能）。而且實際的使用效果也並不理想。比如用某些殺毒軟體卸載木馬後，系統不能正常工作，或根本發現不了經過特殊處理的木馬程序。本人就測試過一些經編程人員改裝過的著名木馬程序，新的查殺毒軟體是連檢查都檢測不到，更不用說要刪除它了（哪怕是使用的是的病毒庫）。因此最關鍵的還是要知道特洛伊木馬的工作原理，由其原理著手自己來檢測木馬和刪除木馬。用手工的方法極易發現系統中藏匿的特洛伊木馬，再根據其藏匿的方式對其進行刪除。
二、木馬工作的原理

在Windows系統中，木馬一般作為一個網路服務程序在種了木馬的機器後台運行，監聽本機一些特定埠，這個埠號多數比較大（5000以上，但也有部分是5000以下的）。當該木馬相應的客戶端程序在此埠上請求連接時，它會與客戶程序建立一TCP連接，從而被客戶端遠程式控制制。

既然是木馬，當然不會那麼容易讓你看出破綻，對於程序設計人員來說，要隱藏自己所設計的窗口程序，主要途徑有：在任務欄中將窗口隱藏，這個只要把 Form的Visible屬性調整為False，ShowInTaskBar也設為False。那麼程序運行時就不會出現在任務欄中了。如果要在任務管理器中隱身，只要將程序調整為系統服務程序就可以了。

好了，現在我們對木馬的運行有了大體了解。讓我們從其運行原理著手來看看它藏在哪。既然要作為後台的網路伺服器運行，那麼它就要乘計算機剛開機的時候得到運行，進而常駐內存中。想一想，Windows系統剛啟動的時候會通過什麼項目裝入而運行一些程序呢？你可能會想到「開始->程序->啟動」中的項目！沒錯，這是Windows啟動時要運行的東西，但要是木馬伺服器程序明顯地放在這就不叫木馬了。

木馬基本上採用了Windows系統啟動時自動載入應用程序的方法，包括有win.ini、system.ini和注冊表等。

在win.ini文件中，[WINDOWS]下面，「run=」和「load=」行是Windows啟動時要自動載入運行的程序項目，木馬可能會在這現出原形。必須要仔細觀察它們，一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與文件名不是你熟悉的或以前沒有見到過的啟動文件項目，那麼你的計算機就可能中上木馬了。當然你也得看清楚，因為好多木馬還通過其容易混淆的文件名來愚弄用戶。如AOL Trojan，它把自身偽裝成command.exe文件，如果不注意可能不會發現它，而誤認它為正常的系統啟動文件項。

在system.ini文件中，[BOOT]下面有個「shell=Explorer.exe」項。正確的表述方法就是這樣。如果等號後面不僅僅是 explorer.exe，而是「shell=Explorer.exe 程序名」，那麼後面跟著的那個程序就是木馬程序，明擺著你已經中了木馬。現在有些木馬還將explorer.exe文件與其進行綁定成為一個文件，這樣的話，這里看起來還是正常的，無法瞧出破綻。

隱蔽性強的木馬都在注冊表中作文章，因為注冊表本身就非常龐大、眾多的啟動項目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

上面這些主鍵下面的啟動項目都可以成為木馬的容身之處。如果是Windows NT，那還得注意HKEY-LOCAL-MACHINE\Software\SAM下的東西，通過regedit等注冊表編輯工具查看SAM主鍵，裡面下應該是空的。

木馬駐留計算機以後，還得要有客戶端程序來控制才可以進行相應的「黑箱」操作。要客戶端要與木馬伺服器端進行通信就必須得建立一連接（一般為TCP連接），通過相應的程序或工具都可以檢測到這些非法網路連接的存在。具體如何檢測，在第三部分有詳細介紹。

三、檢測木馬的存在

知道木馬啟動運行、工作的原理，我們就可以著手來看看自己的計算機有沒有木馬存在了。

首先，查看system.ini、win.ini、啟動組中的啟動項目。由「開始->運行」，輸入msconfig，運行Windows自帶的「系統配置實用程序」。

1、查看system.ini文件

選中「System.ini」標簽，展開[boot]目錄，查看「shell=」這行，正常為「shell=Explorer.exe」
，如果不是這樣，就可能中了木馬了。下圖所示為正常時的情況：

2、查看win.ini文件

選中win.ini標簽，展開[windows]目錄項，查看「run=」和「load=」行，等號後面正常應該為空
3、查看啟動組

再看看啟動標簽中的啟動項目，有沒有什麼非正常項目？要是有象netbus、netspy、bo等關鍵詞，
極有可能就是木馬了。本人一般都將啟動組中的項目保持在比較精簡的狀態，不需要或無大用途的項目都
屏蔽掉了
4、查看注冊表

由「開始-運行」，輸入regedit，確定就可以運行注冊表編輯器。再展開至：
「HKEY-LOCAL-」目錄下，查看鍵值中有沒有自己
不熟悉的自動啟動文件項目，比如netbus、netspy、netserver等的單詞。注意，有的木馬程序生成的
伺服器程序文件很像系統自身的文件，想由此偽裝矇混過關。比如Acid Battery木馬，它會在注冊表項
「HKEY-LOCAL-」下加入
Explorer=「CWINDOWSexpiorer.exe」，木馬伺服器程序與系統自身的真正的Explorer之間只有一個字母
的差別！
通過類似的方法對下列各個主鍵下面的鍵值進行檢查：
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系統是Windows NT，還得注意HKEY-LOCAL-MACHINE\Software\SAM下面的內容，如果有項目，那極有可能就是木馬了。正常情況下，該主鍵下面是空的。

當然在注冊表中還有很多地方都可以隱藏木馬程序，上面這些主鍵是木馬比較常用的隱身之處。除此之外，象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目錄下都有可能成為木馬的藏身之處。最好的辦法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主鍵下面找到木馬程序的文件名，再通過其文件名對整個注冊表進行全面搜索就知道它有幾個藏身的地方了。

如果有留意，注冊表各個主鍵下都會有個叫「（默認）」名稱的注冊項，而且數據顯示為「（未設置鍵值）」，也就是空的。這是正常現象。如果發現這個默認項被替換了，那麼替換它的就是木馬了。

4、其它方法

上網過程中，在進行一些計算機正常使用操作時，發現計算機速度明顯起了變化、硬碟在不停的讀寫、滑鼠不聽使喚、鍵盤無效、自己的一些窗口在未得到自己允許的情況下被關閉、新的窗口被莫名其妙地打開.....這一切的不正常現象都可以懷疑是木馬客戶端在遠程式控制制你的計算機。

如果懷疑你現在正在被木馬控制，那麼不要慌張地去拔了網線或抽了Modem上的電話線。有可能的話，最好可以逮到「黑」你的那個傢伙。下面就介紹一下相應的方法：

由「開始->運行」，輸入command，確定，開一個MS-DOS窗口。或者由「開始->程序->MS-DOS」來打開它。在MS-DOS窗口的命令行鍵入「netstat」查看目前已與本計算機建立的連接。如下圖所示：
顯示出來的結果表示為四列，其意思分別為Proto：協議，Local Address：本地地址，Foreign Address
：遠程地址，State：狀態。在地址欄中冒號的後面就是埠號。如果發現埠號碼異常（比如大於5000
），而Foreign Address中的地址又不為正常網路瀏覽的地址，那麼可以判斷你的機器正被
Foreign Address中表示的遠程計算機所窺視著。在對應行的Foreign Address中顯示的IP地址就是目前非
法連接你計算機的木馬客戶端。

當網路處於非活動狀態，也就是目前沒什麼活動網路連接時，在MS-DOS窗口中用netstat命令將看不
到什麼東西。此時可以使用「netstat -a」,加了常數「-a」表示顯示計算機中目前處於監聽狀態的埠
。對於Windows98來說，正常情況下，會出現如下的一些處於監聽狀態的埠（安裝有NETBEUI協議）：
如果出現有不明埠處於監聽（LISTENING）狀態，而目前又沒有進行任何網路服務操作，那麼在監聽該
埠的就是特洛伊木馬了！如下圖所示的23456和23457埠都處於監聽狀態，很明顯是木馬造成的。
注意，使用此方法查詢處於監聽狀態的埠，一定要保證在短時間內（最好5分鍾以上）沒有運行任何
網路沖浪軟體，也沒有進行過任何網路操作，比如瀏覽網頁，收、發信等。不然容易混淆對結果的判斷。

四、刪除木馬

好了，用上面的一些方法發現自己的計算機中了木馬，那怎麼辦？當然要將木馬刪除了，難道還要保留它！首先要將網路斷開，以排除來自網路的影響，再選擇相應的方法來刪除它。

1、由木馬的客戶端程序

由先前在win.ini、system.ini和注冊表中查找到的可疑文件名判斷木馬的名字和版本。比如「netbus」、「netspy」等，很顯然對應的木馬就是NETBUS和NETSPY。從網上找到其相應的客戶端程序，下載並運行該程序，在客戶程序對應位置填入本地計算機地址： 127.0.0.1和埠號，就可以與木馬程序建立連接。再由客戶端的卸除木馬伺服器的功能來卸除木馬。埠號可由「netstat -a」命令查出來。

這是最容易，相對來說也比較徹底載除木馬的方法。不過也存在一些弊端，如果木馬文件名給另外改了名字，就無法通過這些特徵來判斷到底是什麼木馬。如果木馬被設置了密碼，既使客戶端程序可以連接的上，沒有密碼也登陸不進本地計算機。當然要是你知道該木馬的通用密碼，那就另當別論了。還有，要是該木馬的客戶端程序沒有提供卸載木馬的功能，那麼該方法就沒什麼用了。當然，現在多數木馬客戶端程序都是有這個功能的。

2、手工

不知道中的是什麼木馬、無登陸的密碼、找不到其相應的客戶端程序、......，那我們就手工慢慢來刪除這該死的木馬吧。

用msconfig打開系統配置實用程序，對win.ini、system.ini和啟動項目進行編輯。屏蔽掉非法啟動項。如在win.ini文件中，將將[WINDOWS]下面的「run=xxx」或「load=xxx」更改為「run=」和「load=」；編輯system.ini文件，將 [BOOT]下面的「shell=xxx」，更改為：「shell=Explorer.exe」。

用regedit打開注冊表編輯器，對注冊表進行編輯。先由上面的方法找到木馬的程序名，再在整個注冊表中搜索，並刪除所有木馬項目。由查找到的木馬程序注冊項，分析木馬文件在硬碟中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目錄下）。啟動到純MS-DOS狀態（而不是在Windows環境中開個MS-DOS窗口），用del命令將木馬文件刪除。如果木馬文件是系統、隱藏或只讀文件，還得通過「attrib -s -h -r」將對應文件的屬性改變，才可以刪除。

為保險起見，重新啟動以後再由上面各種檢測木馬的方法對系統進行檢查，以確保木馬的確被刪除了。

目前也有一些木馬是將自身的程序與Windows的系統程序進行了綁定（也就是感染了系統文件）。比如常用到的Explorer.exe，只要 Explorer.exe一得到運行，木馬也就啟動了。這種木馬可以感染可執行文件，那就更象病毒了。由手工刪除文件的方法處理木馬後，一運行 Explorer.exe，木馬又得以復生！這時要刪除木馬就得連Explorer.exe文件也給刪除掉，再從別人相同操作系統版本的計算機中將該文件 Copy過來就可以了。

五、結束語

Internet上每天都有新的木馬冒出來，所採取的隱蔽措施也是五花八門。在信息社會里，計算機用戶對自己的資料進行保密、防止泄漏也變得越來越重要。防範木馬襲擊也只是提高計算機安全性的一個方面。技術的發展，本文所講述的檢測、刪除木馬方法也總有一天會失效，最主要還是要靠用戶提高警惕，防範所有的不安全事件於未然。

典型案例一：
我的機器已中了木馬病毒Trojan.TRC.mIRC.f
是在c:\WINNT\system32\sy5tem文件中，我想要把文件刪掉，可是提示為：源文件正在被使用，瑞星殺毒軟體又不能殺掉，我的系統是win2oooprofessinal,並不能運行msconfig命令，請教：該怎麼辦？
回復：
從Windows XP中剝離的Msconfig程序完全可以在Windows 2000中使用。順便提供 pchome下載點。

把它COPY 到Win2000的WinntSystem目錄下，然後直接運行。

程序首先會彈出一個出錯的消息框，提示找不到以下幾個系統文件：Config.sys、Autoexec.bat、System.ini 及Win.ini，「忽略」它，點擊「確定」之後就會看到 Msconfig 程序窗口。 呵呵 我也是網上看到的

Ⅵ 如何檢測路由是不是中毒了

首先，你要搞清楚的是：路由中毒是指路由信息在路由表中失效時，先將度量值變為無窮大，再將其信息發布出去，這樣相鄰的路由器就得知這條路由己無效了，它是用於防止路由環路的路由特性，和你所謂的中毒根本不是一個概念。

再說，路由器一般不會中毒，路由器的軟體保存在快閃記憶體中，一般不會被病毒改寫。即使路由器出了問題，你只需將它恢復到初始狀態，再重新設置上網賬號和密碼即可。

接下來，根據你的現象，我猜測大概是ARP中毒。ARP欺騙木馬的中毒現象表現為：使用校園網時會突然掉線，過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟體出現故障等。ARP欺騙木馬只需成功感染一台電腦，就可能導致整個區域網都無法上網，嚴重的甚至可能帶來整個網路的癱瘓。

你打開「任務管理器」，查看其中是否有一個名為「MIR0.dat」的進程。如果有，說明已經中毒，結束該進程。
也可以通過如下方法驗證是否中此木馬病毒，當你你發現無法上網時，
點「開始」－>「運行」，輸入cmd，再輸入arp －d，回車。重新嘗試上網，如能短暫正常訪問，則說明此次斷網是受木馬病毒影響。

假如你的確是ARP中毒，可以手工綁定網關物理地址。不過比較麻煩，所以建議你使用安全工具保護本地計算機以防ARP欺騙。比如說Anti ARP Sniffer軟體。

Ⅶ 網路中毒應該怎麼查

網路中毒？是ARP么

與網路中毒去哪裡檢測相關的資料