本文出处:
电瘾院:电脑中毒怎么办?手动解毒移除教学如何D.I.Y.清除木马病毒 清木马病毒,我们从两个方面来谈,「已知」和「未知」,由防毒软体或是Ad-aware查出来而清不掉的我们称这种为「已知」;而「未知」就是防毒软体和Ad-aware没发觉到的。
我们先从「未知」的先来谈,防毒及Ad-aware都是要靠更新病毒定义档,才有办法找出最新的病毒。病毒定义档就好似我们小时常接种的「疫苗」,如果你没接种过疫苗,就会有生病的危险。所以如果没有经常的更新病毒定义档,或是碰到的木马病毒太新、太稀少还没被制作成病毒定义档的,那你就会不知不觉的中毒。
手动解毒的部份对于许多的没有经验的人可能有点复杂,请你一定要耐住性子慢慢的看到最后,这些东西很少人会讲的那么清楚明白,我都把我的解毒的技术完全写出来了,你还不看?相信我学到就是你的,你也就不用一再的花钱请电脑公司解毒了。
寻找未知的木马程式及电脑病毒 一般我找这种未知的,第一步都是先从Windows开机时会载入的程式来找,也就是找「启动」及各个「登录表」的值。
「启动」资料夹总共有二种:你可以从我的电脑中的本机磁碟C,一层一层的点进去。
1. 第一种「启动」资料夹是每个XP、2k使用者都会有一个,它的位置位于
「C:\Documents and Settings\使用者名字\「开始」功能表\程式集\启动 」
2. 第二种「启动」资料夹是全部使用者共用的,它位于
「C:\Documents and Settings\All Users\「开始」功能表\程式集\启动」
第一种启动资料夹和第二种比较,你可以很明显看出差异性就是一个是你自己使用者的名字,另一个名字则叫All Users。
再来就是检查系统登录表,你可以在「开始功能表」里的「执行」里,输入「regedit」,来开启「登录编辑程式」,
而需要你去检查的位置如以下介绍,请你一层一层的追下去:
1. Run: 这里是最重要的二个地方
首先是位于HKEY_LOCAL_MACHINE里的Run,这里的启动程式是最多的,原因是这个地方是所有本机使用者共用的。路径如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
再来是位于HKEY_CURRENT_USER里的Run,这里的项目很少,而且里面的启动程式资料会因为使用者个别的设定而有所不同,也就是说,如果这个地方有被安插木马程式的话,你还必需要再登入到另一个使用者那边去检查一下这个位置有没有安全。路径如下:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
我整理了常见的「有问题」及「正常安全」的登录值,在本文的最后面,这两个清单会持续的维护。
2. Userinit: 这也是相当的重要的一个地方,几乎每个中毒的电脑这个地方都有问题。它的路径如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
通常该登录键下面有一个正常的值如下:
【C:\WINDOWS\system32\userinit.exe,】
但这个键允许指定用逗号分隔的多个程式,
例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】
所以你只要把逗号后面的所有文字全部删除掉,只留下C:\WINDOWS\system32\userinit.exe,就好了。
3. Load: 这个会有问题的情况会比较少一些,不过rundl132.exe这个木马病毒通常都喜欢躲在这。
HKEY_CURRENT_USER\SOFTWARE\Microsoft Windows NT\CurrentVersion\Windows\load
你只要检查名称load的那一行,确定资料栏位是空白的。
4. RunOnce :RunOnce、RunOnceEx、RunServices会出现状况的机率就更少了(有些电脑甚至没有这些键值如RunServices),一般正常的情况,这里面只会有一个「(预设值) REG_SZ (数值未设定)」在里面,除此之外,这里面「不应该」被放置「任何的程式」,如果有其它的程式在上面,全部杀掉。如下图是一个正常的情况:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceSetup
5. RunServices
HKEY_CURRENT_USER\SOFTWARE\Windows
\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce
对初学者来说,看这些登录表的困难度,就是在什么可以杀?什么不可以杀?要是你胡乱杀了一堆东西,虽然当下没有感觉到有什么不一样,可是一旦你重新开机,你就知道后果了。
所以要学会怎么看这个东西可以杀或是不能杀,是要靠经验的。所以建议大家,拿起你的笔记本,看你要记在电脑里还是记在纸上,将上述的这些需要注意的登录表完整的抄下来,将来中毒时,就可以用来判断有什么东西多了出来,一般来说,多出来的那个东西就有可能是木马程式或是电脑病毒,当然也有可能是你后来才安装上来的程式软体。
要记些什么东西?以我目前自己电脑为例,第1个Run里的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 我会记下
第一笔 名称 ctfmon.exe 数值资料 C:\WINDOWS\system32\ctfmon.exe
第一笔 名称Yahoo! Pager数值资料 "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
以此类推。
电瘾院还有更多不可思议的教学文章:1.
每个人都要学的Word实用技巧教学-「合并列印」2.
电脑中毒了要怎么办?处理流程教学总整理3.
好康消息:原来写部落格、网站也能赚钱!!
