一、运行异常

1.1 系统运行速度显著变慢

1.1.1 系统启动与程序打开缓慢

（1）打开程序卡顿，开机时间延长，日常操作延迟。

（2）按下 Ctrl + Shift + Esc 组合键打开任务管理器，查看 "性能" 选项卡下的 CPU、内存、磁盘利用率。若 CPU 或内存长时间处于高占用状态（如 CPU 使用率持续超过 80%，且无明显占用资源的已知程序），可能是木马在后台运行消耗资源。

（3）观察磁盘活动指示灯，若频繁闪烁且无用户主动操作磁盘（如下载、安装程序等），可能是木马在进行数据读写。

1.1.2 系统资源异常消耗

（1）电池续航时间突然缩短（笔记本电脑），或硬盘空间莫名减少。

（2）对于电池续航问题，在电源管理中查看电池使用情况，若发现有未知程序长时间占用电源，可能是木马在后台持续运行。

（3）检查磁盘空间，按文件大小排序，查看是否有突然出现的大容量文件，尤其是隐藏文件（在文件夹选项中设置显示隐藏文件和系统文件），可能是木马下载的恶意数据或窃取的用户信息。

1.1.3 异常进程存在

（1）任务管理器中出现名称怪异、无描述信息或与已知软件无关的进程，且无法结束或结束后很快重新启动。

（2）在任务管理器中右键点击可疑进程，选择 "打开文件所在位置"，查看文件路径是否为系统默认路径（如 C:\Windows\System32 等）以外的陌生目录，且文件名称与常见系统进程（如 svchost.exe、explorer.exe 等）相似但存在细微差别（如 svvhost.exe、expl0rer.exe 等）。

（3）利用搜索引擎查询可疑进程的名称，查看是否有安全机构报告其为木马相关进程。

二、网络连接异常

2.1 网络流量异常

2.1.1 网络带宽占用率高

（1）未进行大量数据传输操作时，网络带宽占用率高，如下载、上传速度持续较高，或网络连接频繁断开又自动连接。

（2）使用系统自带的资源监视器（在任务管理器 "性能" 选项卡中点击 "打开资源监视器"）或第三方网络监控工具（如 Wireshark、TCPView），查看各个进程的网络流量情况。若发现有陌生进程持续发送或接收大量数据，尤其是向境外 IP 地址或可疑端口（如 8080、4444 等）传输数据，可能是木马在进行数据窃取或与控制端通信。

（3）查看路由器的连接设备列表，确认是否有未知设备连接，排除蹭网可能后，若本地计算机存在异常的网络连接，需进一步检查。

2.1.2 不明网络连接

（1）在任务管理器的 "性能" 选项卡中查看网络连接，发现有未知的 IP 地址或端口处于连接状态。

（2）使用命令提示符，输入 netstat -ano 命令，列出所有活动的网络连接及对应的进程 ID（PID）。根据 PID 在任务管理器中找到对应的进程，判断是否为可疑进程（如前所述异常进程的判断方法）。

（3）利用 IP 查询工具（如 IP 地址库网站）查询未知 IP 地址的归属地，若为陌生地区或已知的恶意 IP（可通过安全机构的黑名单查询），则可能是木马的控制服务器。

2.1.3 网络访问速度变慢

（1）访问正常网站时加载缓慢，甚至无法访问，而同一网络下的其他设备网络正常。

（2）尝试使用不同的浏览器或设备访问同一网站，若其他设备正常而当前计算机异常，可能是计算机中木马导致网络资源被占用或网络设置被篡改（如 DNS 服务器被修改）。

（3）检查本地连接的 DNS 设置，查看是否被修改为陌生的 DNS 服务器地址（在网络属性中查看 TCP/IP 协议设置），木马可能通过篡改 DNS 来引导用户访问钓鱼网站或窃取数据。

三、系统文件与设置异常

3.1 文件或程序异常

3.1.1 文件无法打开或内容被篡改

（1）文件突然无法打开、内容被篡改，或出现陌生的可执行文件（.exe、.com 等）、脚本文件（.bat、.vbs 等），尤其是在系统目录（如 C:\Windows、C:\Program Files 等）或用户个人文件夹中。

（2）查看文件的创建时间和修改时间，若发现近期新增的陌生文件，且无用户主动操作记录，需警惕。

（3）右键点击可疑文件，选择 "属性"，查看文件的数字签名，无签名或签名显示为未知发行者的文件可能是木马程序。

3.1.2 系统设置被修改

（1）桌面背景、浏览器主页、输入法设置等突然改变，且用户未进行相关操作；系统时间被篡改，如时间显示错误或频繁自动调整。

（2）检查浏览器的主页设置，查看是否被修改为陌生网址，且修改选项呈灰色无法更改，可能是木马通过恶意插件或注册表修改来锁定主页。

（3）打开注册表编辑器（运行中输入 regedit），依次查看以下路径：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run（当前用户启动项）和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run（所有用户启动项），查看是否有陌生的程序路径被添加到启动项中，导致木马随系统启动自动运行。

3.1.3 系统服务异常

（1）某些系统服务无法启动、自动停止，或出现陌生的系统服务。

（2）打开服务管理器（运行中输入 services.msc），查看服务列表，注意服务的名称、描述、状态和启动类型。若有描述模糊或与已知服务无关的服务，且状态为 "正在运行"，启动类型为 "自动"，可能是木马创建的恶意服务。

（3）右键点击可疑服务，选择 "属性"，查看可执行文件的路径，若指向陌生目录或异常文件，进一步确认是否为木马。

四、用户操作异常

4.1 鼠标或键盘操作异常

4.1.1 鼠标自动移动或点击

（1）鼠标自动移动、点击，或键盘输入的内容未显示在当前窗口；输入密码时明显感觉有延迟，可能是木马在记录键盘输入。

（2）观察鼠标移动是否符合用户操作，若在无操作时鼠标自行打开文件、浏览网页等，可能是木马控制了鼠标操作。

（3）使用键盘记录检测工具（如 Anti-Keylogger）扫描系统，查看是否存在键盘记录程序，木马常通过键盘记录窃取用户账号密码等敏感信息。

4.1.2 弹出异常窗口或提示

（1）频繁弹出广告窗口、虚假杀毒软件提示、系统错误警告等，且关闭后很快再次弹出，或窗口无法正常关闭。

（2）注意窗口的内容，若提示 "计算机已感染病毒，点击此处查杀" 等类似信息，且链接指向非官方杀毒软件网站，可能是木马的钓鱼窗口，旨在诱导用户下载安装恶意软件。

（3）打开任务管理器，结束弹出窗口对应的进程，查看进程名称是否为可疑进程，进一步按照异常进程的判断方法处理。

4.1.3 账号密码异常

（1）常用账号如社交账号、邮箱账号、网上银行账号等频繁出现登录失败、异地登录提醒、密码被修改等情况。

（2）查看账号的登录日志，确认是否有陌生设备或 IP 地址登录，若存在且非用户本人操作，可能是木马窃取了账号密码并尝试登录。

（3）检查计算机是否安装了可疑的插件或程序，尤其是浏览器插件，部分木马通过浏览器漏洞窃取登录凭证。

五、外设和设备异常

5.1 摄像头或麦克风异常

5.1.1 摄像头指示灯亮起

（1）摄像头指示灯在未使用时亮起，或麦克风出现异常杂音、录音功能被自动激活。

（2）关闭所有使用摄像头或麦克风的程序（如视频聊天软件、录音软件等），观察指示灯是否熄灭。若仍亮起，可能是木马在后台调用摄像头或麦克风进行监控。

（3）使用设备管理器（右键点击 "此电脑" 选择 "管理"，进入设备管理器），禁用摄像头和麦克风设备，观察异常是否消失，若消失则可能是木马利用这些设备进行数据采集。

5.1.2 存储设备异常

（1）U 盘、移动硬盘等存储设备接入计算机后，自动运行陌生程序，或文件被隐藏、出现 autorun.inf 等可疑文件。

（2）禁用存储设备的自动播放功能（在组策略或控制面板中设置），避免木马通过自动播放传播。接入存储设备后，通过资源管理器手动打开，查看是否有异常文件。

（3）若发现文件被隐藏，在文件夹选项中设置显示隐藏文件，查看是否有同名的快捷方式文件（可能是木马伪装），真正的文件可能被隐藏或加密。

5.1.3 硬件设备发热异常

（1）计算机在低负载运行时（如仅打开浏览器浏览网页），CPU、显卡等硬件温度过高，风扇持续高速运转。

（2）使用硬件监控软件（如 HWMonitor、鲁大师等）查看各硬件的温度和使用率，若 CPU 使用率持续较高导致发热，结合前面异常进程的判断方法，确定是否为木马占用资源所致。

（3）注意事项：硬件散热故障也可能导致发热异常，需先排除硬件本身问题。

六、日志和安全软件异常

6.1 系统日志异常

6.1.1 日志中出现大量错误和警告

（1）系统日志中出现大量错误、警告信息，尤其是与账户登录、进程启动、网络连接相关的异常记录。

（2）打开事件查看器（运行中输入 eventvwr.msc），查看 "系统"、"安全"、"应用程序" 等日志类别。例如，在安全日志中若发现多次失败的登录尝试，且来源 IP 地址陌生，可能是木马在尝试暴力破解账户密码；在应用程序日志中若有未知程序的错误记录，可能是木马运行时产生的异常。

（3）注意事项：系统日志内容较多，需具备一定的日志分析能力，或借助安全软件的日志分析功能辅助判断。

6.1.2 安全软件异常

（1）杀毒软件、防火墙等安全软件突然无法启动、自动关闭，或频繁报错；安全软件的病毒库无法更新，显示更新失败。

（2）尝试手动启动安全软件，若提示被禁用或文件损坏，可能是木马为了逃避查杀而破坏安全软件。

（3）查看安全软件的防护日志，是否有阻止木马攻击的记录，若有大量未知威胁被拦截，结合其他异常现象，可判断计算机可能已中木马。

6.1.3 特殊场景下的判断

（1）移动存储设备接入后异常：接入 U 盘、移动硬盘、手机等移动存储设备后，计算机出现上述运行缓慢、文件异常等情况。移动存储设备可能携带 autorun 木马，在接入时自动运行并感染计算机，导致一系列异常现象。应对措施：关闭移动存储设备的自动播放功能，接入后先进行病毒扫描再使用。

（2）网络钓鱼攻击后异常：点击了可疑邮件中的链接、下载了不明附件，或访问了钓鱼网站后，计算机出现异常。网络钓鱼常通过诱导用户下载木马程序或输入账号密码来感染计算机，若在钓鱼攻击后出现账号被盗、文件异常等情况，高度怀疑中木马。应对措施：立即断开网络连接，进行全盘杀毒，修改相关账号密码。

（3）系统更新或补丁安装后异常：安装系统更新或软件补丁后，计算机出现运行异常、网络连接问题等。部分木马会利用系统漏洞传播，若在未及时安装补丁的情况下，可能已被木马感染，安装补丁后触发木马的异常行为；也可能是伪装成系统更新的恶意程序导致异常。应对措施：通过系统设置确认更新的来源是否为官方正规渠道，使用安全软件扫描系统。

七、总结

7.1 综合判断与应对措施

（1）判断计算机是否中木马需要综合观察多种异常现象，结合系统运行、网络连接、文件设置、用户操作等多个方面进行分析。若发现多个异常情况同时出现，或单个异常现象持续存在且无法用正常原因解释，应立即采取以下措施：断开网络连接，防止木马进一步传播和数据窃取；使用专业的杀毒软件进行全盘扫描和查杀；备份重要数据，但避免将数据备份到可能感染木马的存储设备；若杀毒后仍存在异常，可考虑重装操作系统，并在重装后及时安装补丁和安全软件，恢复数据时确保数据已清除木马。

（2）日常使用计算机时，应养成良好的安全习惯，如不随意点击陌生链接和附件、定期更新系统和软件补丁、安装可靠的安全软件并保持实时监控等，从源头减少中木马的风险。