Welcome to My Blog!!

  Here is a special place, an extraordinary sense to me, so I committed to a paid, I am here to share the experience over the years playing computer, I think also share many great movies.

  And others insist that different from the beginning and others do not, each operation carefully explain the process, but it is very important to share the basic computer knowledge, the Department of格格the hope that this article can be church people do not understand computers and some basic practical skills.

  I like my "addiction hospital," I hope everyone will like - Addiction Center.

How to handle with computer infected situation?

  What to do when your computer infect a virus? why is it get infected? how to handle with computer infected situation? is it necessary to re-install OS? How to remove the Computer virus and Trojan? These are common questions with regard to these questions, I've done a great deal of efforts writing some articles as follow:

Recovery Methods:

The Tools of Killing Computer virus:

減少中毒的觀念:

中毒的案例:

 

  Each method has its use of the opportunity, it is worth your detailed reading, in general, can solve most problems. Some people may think how so many articles, seems to be complicated? is there no simple way, of course! Send your PC to Computer Company.

解毒的流程

  Computer virus solutions can only provide a general direction of flow,You can make adjustments according to the circumstances Kill-Virus steps do not necessarily have to continue operating in accordance with each of the steps, but each step is not necessarily only one operation

你可以根據情況來做調整解毒的步驟,不一定要依照每個步驟下去操作,而且每個步驟也不一定只會操作一次

  for example:

  1) 【Step 3】Double check the Registry,You can always double check it if there is any virus recovered.

  2) 【Step 5】Use Anti-Virus/Spyware Software,once and for all! Usually, you'll have to restart it after scanning for the first time with a goal to make sure if virus is eliminated。

  3) 【Step 4】Find out the suspicious files and remove it is not garanteed that it won't appear again after reboot your computer.

 

follow these steps:

【Step 1】. Turn Off 「Systen Restore」in WindowsXP SP2

  Open the 「Control Panel」\「System」,and Click 「System Restore」Tab,as below:

  I do not know how to describe the "System Restore",「成事不足,敗事有餘」是我對它的評價,有時真正需要用到它的時候,它都次都給我「還原失敗」,這就算了,這個「系統還原」儲存的地方常常都是病毒的避難所,原因就是防毒軟體沒有辦法清系統還原資料夾(System Volume Information)裡的病毒,所以乾脆就把它關了吧!

 

【Step 2】. 儘可能的將病毒碼更新到最新

  用過很多防毒軟體,其中最滿意的防毒軟體是賽門鐵克Symantec Antivirus,推薦大家也用它。一般來說,使用Symantec Antivirus都是使用Live Upate去更新病毒碼, 可是有時候也會需要去下載病毒碼來更新,如中毒了無法上網,就需要到別台可以上網的電腦去抓病毒定義檔回來更新,以下是Symantec及Lavasoft的定義檔下載網頁:

 

【Step 3】. 檢查登錄表(Regedit)

  先檢查登錄表上有沒有可疑的值,詳細教學請參考(電腦中毒怎麼辦?手動解毒移除教學),有的話記得在清掉上面登錄值前,先用筆將可疑的檔案的位置抄下來。

  我整理了有問題及正常的登錄值在本篇文章的最後,這兩個表會持續的更新

 

【Step 4】. 找出可疑的檔案並移除它

  在檔案總管或是命令提示字元中找出剛剛抄下來可疑檔案的位置,並刪除它,教學請參考(電腦中毒怎麼辦?使用工具軟體來解毒),若是因為拒絕存取或是檔案使用中,請先不用管它。

 

【Step 5】. 使用工具軟體

  由於需要檢查的地方太多且太雜,使用工具軟體可以幫助我們找到更多我們沒有檢查到的區域,教學請參考(電腦中毒怎麼辦?使用工具軟體來解毒尋找木馬間諜程式新利器PC Tools的Spyware Doctor)

 

【Step 6】. 進入安全模式

  進入安全模式後,因為系統只載入基本的開機的程序,所以”有可能”病毒就沒有被載入,所以可以在這個時候來進行清除病毒的動作。

  接下來就請做:

  • 1) 使用「檔案總管」或是「命令提示字元」找到【Step 4】因為拒絕存取或使用中而殺不掉的檔案,再試著殺殺看。
  • 2) 再次檢查登錄表【Step 3】
  • 3) 這時候也可以使用防毒軟體(Antivirus、adaware)再試著清看看【Step 5】
  • 4) 如果在安全模式下刪除有問題的檔案時還會出現檔案正在使用中之類的訊息,請參考【Step8】. 特別狀況

  進入「安全模式」的方法,請你在打開電腦之後,看到WindowsXP開始的圖案之前,一直的按「F8」按鍵,之後會出現一個黑底白字的畫面,這時請選擇第一個「安全模式」進入,如果你會命令提示字元,也可以選擇「安全模式(含命令提示字元)」:

 

  之後的畫面如下,請直接按「Enter」繼續。

 

  進入Windows後請選擇一位使用者進入後,你會看到此說明視窗,請按「」:

Windows在安全模式下執行。 這是Windows的特殊診斷模式,你可以在這個模式中修正網路或硬體設定所產生的問題。 請確定這些「控制台」的設定正確無誤,再嘗試啟動Windows。在安全模式下,有些裝置可能無法使用。 要繼續在安全模式下執行,請按「是」。如果您想使用系統還原,將您的電腦還原到之前的狀態,請按「否」。

 

  進入到桌面後,你會發現到和平常的桌面不太一樣,四個角落都有「安全模式」的文字,而且顏色變的怪怪的,這是因寪Windows只載入基本的裝置驅動程式。

 

【Step 7】. 重新開機

  重新開機後,請再回到【Step 3】,再次檢查所移除的程式有沒有復發的現象。
   (如果你發現已經殺掉的木馬會一再的復發,就要請找更專業的人士解決,或是重灌了。如果你還想再繼續解的話,你可以上網去搜尋這個木馬的相關資料,再想對策來解決)

 

【Step 8】. 特別狀況(以下操作比較困難)

  特別狀況中的處理方法會使用到一些光碟,有些使用者可能沒有這些光碟所以沒有辦法操作。

  1). 如果可疑檔案所在磁碟的檔案系統是FAT32FAT16,那你可以直接使用Dos開機片開機後再做清除的動作,這時不管什麼檔案,絕不會再出現「檔案使用中或拒絕」的情況。(在這個裡你必需要會基本的Dos指令,才有辦法操作)

  2). 如果所在磁碟的檔案系統是NTFS的話,你可以利用WindowsXP的光碟片開機,進入到安裝程式選擇時,按【R】按鍵,進入復原主控台,然後Dos指令清除這些檔案。(在這個裡你必需要會基本的Dos指令,才有辦法操作,詳細進入的方法請參考「電腦突然就不能開機了?使用復原主控台解決這個問題」)

  3). 另外,你也可以使用WinPE光碟直接開機,這時不管什麼檔案或是檔案系統,也都直接可以做刪除的動作,因為開機並不是使用到原本的WindowsXP系統,而是使用光碟上的開機系統)。
(你可以自行到論壇下載 http://bbs.mychat.to/read.php?tid=612288)

有關網友FLYMOONX對系統還原的疑問

  「病毒真的是都藏在系統還原裡面嗎?」謝謝Flymoonx問了這麼好的問題。

  這個答案是肯定的,我有多次看到病毒在「System Volume Information」系統還原資料夾出現過,而且,在Symantec的官方標準解毒程序裡,開宗明義的第一個步驟,就是要關閉系統還原(Disable System Restore) ,其原因就是防毒軟體無法進入這個區域掃毒,所以就要靠關閉系統還原的功能將裡面的病毒清除,以免病毒再次復發。而在病毒完全清除後,你還是可以再次打開系統還原這個功能。

  根據微軟Microsoft技術文件說明,「系統還原」功能不允許公用程式操控此資料夾與檔案,由於這一點,防毒程式無法移除此資料存放區中檔案的病毒。

  這樣的規則到最後,防毒軟體乖乖的聽從「系統還原」指示不能越軌進入,而木馬病毒只把「系統還原」的遊戲規則當參考用,在資料夾內進進出出的,防毒軟體要抓它時,就躲進去在裡面大笑:「呆子,抓不到~~」。

  賽門鐵克其中一種病毒的解毒步驟:W32.Rontokbro.AN@mm

  微軟的說明文件:防毒軟體工具無法清除在還原資料夾內受到感染的檔案(Antivirus Tools Cannot Clean Infected Files in the _Restore Folder)

有問題的登錄值總整理

  只要你發現你的登錄值裡有符合以下任何一個值,直接刪除它就對了!

表格 1: 常見木馬病毒程式登錄值。
名稱 資料
cmdbcs C:\WINDOWS\SVCHOST.EXE
cmdbcs C:\WINDOWS\cmdbcs.exe
fzg C:\WINDOWS\Config\svhost32.exe
svchost C:\WINDOWS\system32\SVSH0ST.EXE
load C:\WINDOWS\uninstall\rundl132.exe
mhsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mhso.exe
mnsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mnso.exe
msccrt C:\WINDOWS\LSASS.EXE
MsIMMs32 C:\WINDOWS\12Sy.exe
qjsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\qjso.exe
rxsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\rxso.exe
tlsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\tlso.exe
wlsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\wlso.exe
wosa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\woso.exe
ztsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\ztso.exe
WSVBRS C:\WINDOWS\RUNDLL32.exe
upxdnd C:\WINDOWS\upxdnd.exe
svc C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\byetmr.exe
1MJPMIG_ C:\WINDOWS\IMEINPUTS.EXE
wssttrs C:\WINDOWS\wssttrs.exe
Microsoft Autorun9 C:\WINDOWS\system32\Ravasktao.exe
Microsoft Autorun14 C:\WINDOWS\system32\ztinetzt.exe
Microsoft Autorun5 C:\WINDOWS\system32\mosou.exe
Microsoft Autorun10 C:\WINDOWS\system32\nwizwmgjs.exe
Microsoft Autorun6 C:\WINDOWS\system32\mydata.exe
MailScanner C:\DOCUME~1\使用者帳號\LOCALS~1\adsl.exe
system C:\Program Files\Common Files\system\Updaterun.exe
kava C:\WINDOWS\system32\kavo.exe
Iexplore Data2 Center13 C:\WINDOWS\System32\firestore3.exe
sck12 C:\WINDOWS\system32\helpsys.exe
sixer5 C:\WINDOWS\system32\ssc.exe
sysms C:\WINDOWS\system32\sysem.exe
Systam13 icsws.exe
Windows Shield igkxibxhu.exe
mmsass mmdmm.exe
johkjh C:\WINDOWS\system32\srvd.exe
melg3445 C:\WINDOWS\system32\mdmdd.exe
  持續更新中...

安全的登錄值總整理

  以下整理的登錄值都是一般常見正常的登錄值,請不要動到它。

表格2: 常見一般正常程式的登錄值。
名稱 資料
IMJPMIG8.1 "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
nwiz nwiz.exe /install
PHIMETIPSYNC C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
Smapp C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
Yahoo! Pager "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
MSMSGS "C:\Program Files\Messenger\msmsgs.exe" /background
msnmsgr "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
swg C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
Skype "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
  持續更新中...

killvirus 發表在 痞客邦 留言(1) 人氣()