http://changyang319.pixnet.net/blog
解毒文章整理
電腦中毒怎麼辦?是什麼原因造成電腦中毒?如何判斷電腦有沒有中毒?萬一電腦中毒了要怎麼處理?電腦病 毒、蠕蟲(Computer Virus、Worm)、木馬程式(Trojan horse)、惡意、廣告程式(Malware、adaware))要怎麼移除?有沒有需要重灌?那要怎麼重灌電腦?這些是許多人心中的疑問,更是大家想 要了解的,針對這些問題,我花了很多心思寫了一系列有關的解毒的文章,如下:
解毒的方法:
解毒的工具:
- 尋找木馬間諜程式新利器PC Tools的Spyware Doctor
- Lavasoft Ad-Aware 2007 免費版正式推出
- 認識WindowsXP SP2的防火牆
- 體驗諾頓網路安全大師2008(Norton Internet Security)的新功能
減少中毒的觀念:
電腦如何重灌:
- 電腦重灌前與後的資料備份工作
- 磁碟分割與格式化,GDisk教學
- 如何重灌電腦WindowsXP作業系統教學(上)
- 如何重灌電腦WindowsXP作業系統教學(下)
- 使用SATA及SCSI硬碟在安裝WindowsXP會重新開機的問題
- WindowsXP驅動程式安裝教學
中毒的案例及解毒示範:
- 電腦中毒怎麼辮?ADSL可以撥號不能上網?PING [?] 問號
- 看影片也會中毒!real player自動開啟的廣告
- 隨身碟病毒與無法顯示所有的檔案
- W32.Looked.BK感染硬碟中的執行檔
- 移除流氓軟體Adware.CDN cdnprot.sys示範教學
- 所有的檔案都被覆寫,變成小惡魔exe檔
- Windows98裡的木馬程式「4wd!!!/C:\WINDOWS\Natal!.pif」移除教學
每個方法都有它的使用時機,值得你詳細的閱讀,一般來說,可以解決大部份的問題。也許有人會覺得怎麼內容這麼多,好像有點複雜?有沒有簡單一點的方法,當然有!! 送電腦公司。
解毒的流程
解電腦病毒流程只能提供一個大方向,你可以根據情況來做調整解毒的步驟,不一定要依照每個步驟下去操作,而且每個步驟也不一定只會操作一次,例如:
1) 步驟【Step 3】檢查登錄表(Registry),你都可以隨時去檢查一下病毒有沒有復發。
2) 步驟【Step 5】使用工具軟體(Anti-Virus/Spyware/Trojan horse software) ,也不是只掃一次就好,通常掃完第一次後都要重新開機,然後再掃一次,目的就是要確認病毒是否真的已經清除掉了。
3) 步驟【Step 4】找出可疑的檔案並移除它,也不能保證在開機過後,可疑的檔案會不會再跑出來。
以下就是我整理出來的解毒流程:
【Step 1】關掉WindowsXP SP2的「系統還原(System Restore)」
你可以從「開始功能表」中開啟「控制台」->「系統」,出現〔系統內容〕對話盒時,請切換到〔系統還原〕活頁標籤,如下圖:
我不曉得該怎麼形容這個「系統還原」,「成事不足,敗事有餘」是我對它的評價,有時真正需要用到它的時候,它都次都給我「還原失敗」,這就算了,這個「系統還原」儲存的地方常常都是病毒的避難所,原因就是防毒軟體沒有辦法清系統還原資料夾(System Volume Information)裡的病毒,所以乾脆就把它關了吧!
【Step 2】儘可能的更新病毒碼(virus definitions files)及掃毒引擎(Scan Engine)
用過很多防毒軟體,其中最滿意的防毒軟體是賽門鐵克Symantec Antivirus,推薦大家也 用它。諾頓防毒軟體(Norton Symantec Antivirus)都是使用「立即更新(Live Upate)」去更新病毒碼, 可是有時候也會需要去下載病毒碼來更新,如中毒了無法上網,就需要到別台可以上網的電腦去抓病毒定義檔回來更新,以下是常見的防毒/防木馬軟體 (Antivirus/Anti-Trojan horse)相關更新的下載網頁:
賽門鐵克(NortonSymantec)
- 病毒定義檔下載
趨勢科技(Trend Micro)
- 病毒碼下載
- 掃瞄引擎下載
卡巴斯基實驗室(Kaspersky Lab)
- 7.0手動更新病毒碼
- 6.0手動更新病毒碼
如果你電腦沒有安裝防毒軟體,或是你想試試其他家的防毒軟體,你可以透過以下所整理好的防毒軟體下載清單來下載試用。
1) 賽門鐵克Norton Internet Security防毒軟體下載
2) 卡巴斯基Kaspersky Internet Security防毒軟體下載
3) ESET NOD32防毒軟體下載
【Step 3】檢查登錄表(Registry)
先檢查登錄表上有沒有可疑的值,詳細教學請參考「電腦中毒怎麼辦?手動解毒移除教學」一文,如果有檢查到可疑的值,最好可以在清掉上面登錄值前,先將〔登錄名稱〕及〔資料〕抄下來,一方面是為了怕誤殺,一方面是可以手動的找到這個可疑檔案的位置,如果防毒軟體沒有殺掉它的話,我們就可以手動的刪除它。
關於「可疑的值」,你可比對我在本文最後整理的「有問題」及「正常的」登錄值表格,而兩個表格我會持續的更新。
【Step 4】找出可疑的檔案並移除它
在檔案總管或是命令提示字元中找出剛剛抄下來可疑檔案的位置,並刪除它,教學請參考「電腦中毒怎麼辦?使用工具軟體來解毒」 一文,若是因為拒絕存取或是檔案使用中,請使用「Windows工作管理員」,在〔處理程序〕活頁標籤中,將有問題的"處理程序",使用視窗下方的〔結束 處理程序(E)〕來終止它,如果它還是會再度的出現在就先不用理會它,我們會在【Step 6】進入「安全模式」時來處理它,而有關「Windows工作管理員」的使用請參考「電腦中毒怎麼辦?工作管理員的解毒方法」一文。
【Step 5】使用工具軟體完整掃描電腦
由於需要檢查的地方太多且太雜,使用工具軟體可以幫助我們找到更多我們沒有檢查到的區域,你可以在這裡使用防毒軟體或防木馬軟體來對電腦做 完整的掃描,在這個步驟也許會有防毒軟體清除不了的病毒或是木馬程式,別擔心,待會要到「Windows安全模式」再一起解決。相關的教學請參考「電腦中毒怎麼辦?使用工具軟體來解毒」及「尋找木馬間諜程式新利器PC Tools的Spyware Doctor」。
【Step 6】進入安全模式
進入安全模式後,因為系統只載入基本的開機的程序及驅動程式,所以”有可能”病毒就沒有被載入,所以在這個時候來進行清除病毒的動作會比較有效。
接下來就請做:
- 1) 使用「檔案總管」或是「命令提示字元」找到【Step 4、5】因為拒絕存取或使用中而殺不掉的檔案,再試著殺殺看。
- 2) 【Step 3】再次檢查登錄表有沒有可疑的值。
- 3) 接下來再次使用【Step 5】防毒軟體(Antivirus、adaware)再試著清看看。
- 4) 如果在安全模式下刪除有問題的檔案時還會出現檔案正在使用中之類的訊息,請參考【Step 8】特別狀況。
進入「安全模式」的方法,請你在打開電腦之後,看到WindowsXP開始的圖案之前,一直的按「F8」按鍵,之後會出現一個黑底白字的畫面,這時請選擇第一個「安全模式」進入,如果你會命令提示字元,也可以選擇「安全模式(含命令提示字元)」:
之後的畫面如下,請直接按「Enter」繼續。
進入Windows後請選擇一位使用者進入後,你會看到此「桌面」對話盒,這時請按〔是(Y)〕按鈕:
進入到桌面後,你會發現到和平常的桌面不太一樣,四個角落都有「安全模式」的文字,而且顏色變的怪怪的,這是因寪Windows只載入基本的裝置驅動程式。
【Step 7】重新開機
重新開機後,請再回到【Step 3】,再次檢查所移除的程式有沒有復發的現象。
(如果你發現已經殺掉的木馬會一再的復發,就要請找更專業的人士解決,或是重灌了。如果你還想再繼續解的話,你可以上網去搜尋這個木馬的相關資料,再想對策來解決)
【Step 8】. 特別狀況(以下操作比較困難)
特別狀況中的處理方法會使用到一些光碟,有些使用者可能沒有這些光碟所以沒有辦法操作。
1). 如果可疑檔案所在磁碟的檔案系統是FAT32、FAT16,那你可以直接使用Dos開機片開機後再做清除的動作,這時不管什麼檔案,絕不會再出現「檔案使用中或拒絕」的情況。(在這個裡你必需要會基本的Dos指令,才有辦法操作)
2). 如果所在磁碟的檔案系統是NTFS的話,你可以利用WindowsXP的光碟片開機,進入到安裝程式選擇時,按【R】按鍵,進入復原主控台,然後Dos指令清除這些檔案。(在這個裡你必需要會基本的Dos指令,才有辦法操作,詳細進入的方法請參考「電腦突然就不能開機了?NTLDR is missing」)
3). 另外,你也可以使用WinPE光碟直接開機,這時不管什麼檔案或是檔案系統,也都直接可以做刪除的動作,因為開機並不是使用到原本的WindowsXP系統,而是使用光碟上的開機系統)。
你可以下載微軟官方所釋出的WinPE映像檔(繁體),或自行到各大論壇去尋找下載檔。
有關網友FLYMOONX對系統還原的疑問
「病毒真的是都藏在系統還原裡面嗎?」謝謝Flymoonx問了這麼好的問題。
這個答案是肯定的,我有多次看到病毒在「System Volume Information」系統還原資料夾出現過,而且,在Symantec的官方標準解毒程序裡,開宗明義的第一個步驟,就是要關閉系統還原(Disable System Restore) ,其原因就是防毒軟體無法進入這個區域掃毒,所以就要靠關閉系統還原的功能將裡面的病毒清除,以免病毒再次復發。而在病毒完全清除後,你還是可以再次打開系統還原這個功能。
根據微軟Microsoft技術文件說明,「系統還原」功能不允許公用程式操控此資料夾與檔案,由於這一點,防毒程式無法移除此資料存放區中檔案的病毒。
這樣的規則到最後,防毒軟體乖乖的聽從「系統還原」指示不能越軌進入,而木馬病毒只把「系統還原」的遊戲規則當參考用,在資料夾內進進出出的,防毒軟體要抓它時,就躲進去在裡面大笑:「呆子,抓不到~~」。
賽門鐵克其中一種病毒的解毒步驟:W32.Rontokbro.AN@mm
微軟的說明文件:防毒軟體工具無法清除在還原資料夾內受到感染的檔案(Antivirus Tools Cannot Clean Infected Files in the _Restore Folder)
| |  |
有問題的登錄值總整理
只要你發現你的登錄值裡有符合以下任何一個值,直接刪除它就對了!
| 名稱 | 資料 |
|---|---|
| cmdbcs | C:\WINDOWS\SVCHOST.EXE |
| cmdbcs | C:\WINDOWS\cmdbcs.exe |
| fzg | C:\WINDOWS\Config\svhost32.exe |
| svchost | C:\WINDOWS\system32\SVSH0ST.EXE |
| load | C:\WINDOWS\uninstall\rundl132.exe |
| mhsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mhso.exe |
| mnsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mnso.exe |
| msccrt | C:\WINDOWS\LSASS.EXE |
| MsIMMs32 | C:\WINDOWS\12Sy.exe |
| qjsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\qjso.exe |
| rxsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\rxso.exe |
| tlsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\tlso.exe |
| wlsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\wlso.exe |
| wosa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\woso.exe |
| ztsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\ztso.exe |
| WSVBRS | C:\WINDOWS\RUNDLL32.exe |
| upxdnd | C:\WINDOWS\upxdnd.exe |
| svc | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\byetmr.exe |
| 1MJPMIG_ | C:\WINDOWS\IMEINPUTS.EXE |
| wssttrs | C:\WINDOWS\wssttrs.exe |
| Microsoft Autorun9 | C:\WINDOWS\system32\Ravasktao.exe |
| Microsoft Autorun14 | C:\WINDOWS\system32\ztinetzt.exe |
| Microsoft Autorun5 | C:\WINDOWS\system32\mosou.exe |
| Microsoft Autorun10 | C:\WINDOWS\system32\nwizwmgjs.exe |
| Microsoft Autorun6 | C:\WINDOWS\system32\mydata.exe |
| MailScanner | C:\DOCUME~1\使用者帳號\LOCALS~1\adsl.exe |
| system | C:\Program Files\Common Files\system\Updaterun.exe |
| kava | C:\WINDOWS\system32\kavo.exe |
| Iexplore Data2 Center13 | C:\WINDOWS\System32\firestore3.exe |
| sck12 | C:\WINDOWS\system32\helpsys.exe |
| sixer5 | C:\WINDOWS\system32\ssc.exe |
| sysms | C:\WINDOWS\system32\sysem.exe |
| Systam13 | icsws.exe |
| Windows Shield | igkxibxhu.exe |
| mmsass | mmdmm.exe |
| johkjh | C:\WINDOWS\system32\srvd.exe |
| melg3445 | C:\WINDOWS\system32\mdmdd.exe |
| HOT FIX | G0ahic.exe |
| hotfix | msnnmaneger.exe |
| johkjh | C:\WINDOWS\system32\srvd.exe |
| melg3445 | C:\WINDOWS\system32\mdmdd.exe |
| mmsass | mmdmm.exe |
| sck12 | C:\WINDOWS\system32\helpsys.exe |
| sysms | C:\WINDOWS\system32\sysem.exe |
| 持續更新中... |
安全的登錄值總整理
以下整理的登錄值都是一般常見正常的登錄值,請不要動到它。
| 名稱 | 資料 |
|---|---|
| IMJPMIG8.1 | "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 |
| MSPY2002 | C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC |
| NvCplDaemon | RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup |
| NvMediaCenter | RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit |
| nwiz | nwiz.exe /install |
| PHIMETIPSYNC | C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync |
| Smapp | C:\Program Files\Analog Devices\SoundMAX\SMTray.exe |
| ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe |
| Yahoo! Pager | "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet |
| MSMSGS | "C:\Program Files\Messenger\msmsgs.exe" /background |
| msnmsgr | "C:\Program Files\MSN Messenger\msnmsgr.exe" /background |
| swg | C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe |
| Skype | "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized |
| 持續更新中... |
0 意見:
張貼留言