電腦中毒怎麼辦?手動解毒移除教學

在Ad-aware中,有些木馬病毒解不掉

Ad-aware SE Personal是Lavasoft提供給個人免費使用的一套軟體,能「"被動」的解掉木馬病毒,為什麼說是「"被動」呢?就是等你中標了,再來治療的動作。別人免費讓我們使用,就別抱怨了。

但是Ad-aware有時雖然可以抓的到木馬病毒,可是會因為病毒已經載入記憶體中了,所以沒有辦法將木馬病毒給終止結束掉,它會請你將電腦重新開機後,再次進入Windows後,就自動進行一次掃描,基本上如果Ad-aware比病毒還要早載入的話,木馬病毒多半是可以解掉的;但…要是病毒又先載入了呢?那就要自己D.I.Y.了。

如何D.I.Y.清除木馬病毒

清木馬病毒,我們從兩個方面來談,「已知」和「未知」,由防毒軟體或是Ad-aware查出來而清不掉的我們稱這種為「已知」;而「未知」就是防毒軟體和Ad-aware沒發覺到的。

我們先從「未知」的先來談,防毒及Ad-aware都是要靠更新病毒定義檔,才有辦法找出最新的病毒。病毒定義檔就好似我們小時常接種的「疫苗」,如果你沒接種過疫苗,就會有生病的危險。所以如果沒有經常的更新病毒定義檔,或是碰到的木馬病毒太新、太稀少還沒被製作成病毒定義檔的,那你就會不知不覺的中毒。

手動解毒的部份對於許多的沒有經驗的人可能有點複雜,請你一定要耐住性子慢慢的看到最後,這些東西很少人會講的那麼清楚明白,我都把我的解毒的技術完全寫出來了,你還不看?相信我學到就是你的,你也就不用一再的花錢請電腦公司解毒了。

尋找未知的木馬程式及電腦病毒

一般我找這種未知的,第一步都是先從Windows開機時會載入的程式來找,也就是找「啟動」及各個「登錄表」的值。

一、「啟動」

「啟動」資料夾總共有二種:你可以從我的電腦中的本機磁碟C,一層一層的點進去。

  1. 第一種「啟動」資料夾是每個XP、2k使用者都會有一個,它的位置位於「C:\Documents and Settings\使用者名字\「開始」功能表\程式集\啟動 」
  2. 第二種「啟動」資料夾是全部使用者共用的,它位於「C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動」

第一種啟動資料夾和第二種比較,你可以很明顯看出差異性就是一個是你自己使用者的名字,另一個名字則叫All Users

二、登錄表

再來就是檢查系統登錄表,你可以在「開始功能表」裡的「執行」裡,輸入「regedit」,來開啟「登錄編輯程式」,
923-01
923-02
而需要你去檢查的位置如以下介紹,請你一層一層的追下去:

Run:

這裡是最重要的二個地方,首先是位於HKEY_LOCAL_MACHINE裡的Run,這裡的啟動程式是最多的,原因是這個地方是所有本機使用者共用的。路徑如下:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

923-03

再來是位於HKEY_CURRENT_USER裡的Run,這裡的項目很少,而且裡面的啟動程式資料會因為使用者個別的設定而有所不同,也就是說,如果這個地方有被安插木馬程式的話,你還必需要再登入到另一個使用者那邊去檢查一下這個位置有沒有安全。路徑如下:

Advertisement

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

923-04

我整理了常見的「有問題」及「正常安全」的登錄值,在本文的最後面,這兩個清單會持續的維護。

Userinit:

這也是相當的重要的一個地方,幾乎每個中毒的電腦這個地方都有問題。它的路徑如下:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

923-05

通常該登錄鍵下面有一個正常的值如下:

【C:\WINDOWS\system32\userinit.exe,】

但這個鍵允許指定用逗號分隔的多個程式,

例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】

所以你只要把逗號後面的所有文字全部刪除掉,只留下C:\WINDOWS\system32\userinit.exe,就好了。

Load:

這個會有問題的情況會比較少一些,不過rundl132.exe這個木馬病毒通常都喜歡躲在這。

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load

923-06

你只要檢查名稱load的那一行,確定資料欄位是空白的

RunOnce :

RunOnce、RunOnceEx、RunServices會出現狀況的機率就更少了(有些電腦甚至沒有這些鍵值如RunServices),一般正常的情況,這裡面只會有一個「(預設值) REG_SZ (數值未設定)」在裡面,除此之外,這裡面「不應該」被放置「任何的程式」如果有其它的程式在上面,全部殺掉。如下圖是一個正常的情況:
923-07

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup

RunServices

    • HKEY_CURRENT_USER\SOFTWARE\Windows\CurrentVersion\RunServices
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

對初學者來說,看這些登錄表的困難度,就是在什麼可以殺?什麼不可以殺?要是你胡亂殺了一堆東西,雖然當下沒有感覺到有什麼不一樣,可是一旦你重新開機,你就知道後果了。

所以要學會怎麼看這個東西可以殺或是不能殺,是要靠經驗的。所以建議大家,拿起你的筆記本,看你要記在電腦裡還是記在紙上,將上述的這些需要注意的登錄表完整的抄下來,將來中毒時,就可以用來判斷有什麼東西多了出來,一般來說,多出來的那個東西就有可能是木馬程式或是電腦病毒,當然也有可能是你後來才安裝上來的程式軟體。

要記些什麼東西?以我目前自己電腦為例,第1個Run裡的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
我會記下

第一筆 名稱 ctfmon.exe 數值資料 C:\WINDOWS\system32\ctfmon.exe
第二筆 名稱 Yahoo! Pager 數值資料 “C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

以此類推。

4 關於 “電腦中毒怎麼辦?手動解毒移除教學” 的評論

發表迴響

以經常會遇到的問題及「初學者」的角度,來看待「電腦教學」這回事。