三个小命令 检查电脑是否被安装木马

sun04zh3

一、检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an -o命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local aDDRess(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

1.我们通过：开始·运行·输入cmd·输入netstat -an -o（注意空格）可以看见如图：



2.我给大家介绍关于它的具体意思：

例如：TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860

proto(连接方式)指：协议类型，主要含tcp，udp

local address(本地连接地址)：因为我的本地ip是192.168.0.56所以就是他了。2150是你电脑所开的端口。

foreign address(和本地建立连接的地址)指：入侵电脑的ip地址（当你访问一些网站，网站中的每个内容比如图片、flash等都要单独建立一个连接，也会连接你的电脑。说入侵电脑不是很恰当。例如：访问百度：可能出现：TCP 192.168.0.56:1045 202.108.250.249:80 ESTABLISHED） 221.130.44.194它跟我连上的。8080：它是以8080端口给我发起的连接。

state(当前端口状态)：如：

TIME_WAIT:的意思是结束了这次连接 （例如：如果浏览网页完毕，那就变为TIME_WAIT状态）

LISTENING:正在监听 只有tcp端口才可以这样(如果是udp的话,那么肯定是木马) 端口为开放。

ESTABLISHED:正在共享,表示两者连接着

CLOSE_WAIT:连接并没有正确关闭 依然是处于等待应用程序等待关闭(CLOSE_WAIT)的情况中 如果一直都处于CLOSE_WAIT状态,有可能是应用程序异常退出并且没有恰当地处理这个异常

SYN_SENT：表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多SYN_SENT的原因。

对于其他的状态你可以在百度搜索一下就ok了。

pid（会话）接下来将讲到。

3.我们主要是看状态和pid，主要注意ESTABLISHED状态。因为他表示是跟我们的电脑已经连上。

当为ESTABLISHED状态并不一定是木马。上面我也说了如访问百度。

分析：

我们要辨别是否是木马。还得用一个命令：tasklist

开始·运行·输入cmd·输入tasklist得到如图：



其实它显示的是进程信息。

例如：

TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860

我们现在只注意pid，我们可以看出它的pid为2860.然后在tasklist

命令下找到pid为2860的进程。如我的：

FetionVM.exe 2860 0 71,804 K

我就知道是以FetionVM.exe （飞信进程）跟我电脑相连。当然我们知道它是飞信进程（安全进程）。所以我们就不用担心了。当我们不知道进程是什么意思时，在百度查查就ok了。未知进程就要注意了，可能是木马进程。

二、禁用不明服务

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“开始·运行·输入cmd·输入net start”来查看服务，再用“net stop server”来禁止服务。

禁用服务方法：开始·运行·输入msconfig

进入服务管理器方法：在“开始·运行·输入services.msc，也可以从“控制面版－管理工具－服务”打开服务管理器。可以进行服务修改。

三、轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del（注意空格）”来删掉这个用户吧!

1.当我们输入：开始·运行·输入cmd·输入net user可以得到如图：



我的出现：mk（我的）等于Administrator（管理员权限） Guest（来宾用户） HelpAssistant （远程桌面助手）出现这三个正常。出现其他的用户就要注意了。

当命令删除不了用户时。我就只有手动删除。

方法：点击我的电脑右键·管理·本地用户和组·用户。

我们就可以看见用命令所看到的用户。在用户名上右键·删除即可。

小v可

学习一下！

jdhappy

不错 尤其是前面两个的讲解  
顶楼主啊
学习了！！

wqm54

楼主行,顶一个.

猪猪的一天

学习一下

su-tt

学习CMD命令了，谢谢楼主

嗜血独狼

学习了，试过了，目前安全，黑框里那几个字太帅

xxyyzv

很实用，顶。楼主辛苦

沙石头

学习，楼主辛苦

Fengyun

很好，很实用。

如果想要结束进程，还可以用  taskkill 来实现。