欢迎来到电瘾院
这里是一个特别的地方,一个对我意义非凡的地方,一个让我全心全力付出的地方,在这里我分享了多年来玩电脑的心得,也分享许多我觉得很棒的电影。
坚持要和别人不同,从开始就要和别人做的不一样,仔细的交待每个操作的过程,分享基本但却很重要的电脑知识,希望这个部格格的文章,能教会不懂电脑的人一些实用且基本的技能。
我喜欢我的「电瘾院」,希望大家也会喜欢电瘾院。
解毒文章整理
电脑中毒怎么办?是什么原因造成电脑中毒?如何判断电脑有没有中毒?万一电脑中毒了要怎么处理?电脑病毒、蠕虫(Computer Virus、Worm)、木马程序(Trojan horse)、恶意、广告程序(Malware、adaware))要怎么移除?有没有需要重灌?那要怎么重灌电脑?这些是许多人心中的疑问,更是大家想要了解的,针对这些问题,我花了很多心思写了一系列有关的解毒的文章,如下:
解毒的方法:
解毒的工具:
- 寻找木马间谍程序新利器PC Tools的Spyware Doctor
- Lavasoft Ad-Aware 2007 免费版正式推出
- 认识WindowsXP SP2的防火墙
- 体验诺顿网络安全大师2008(Norton Internet Security)的新功能
减少中毒的观念:
电脑如何重灌:
- 电脑重灌前与后的数据备份工作
- 磁盘分割与格式化,GDisk教学
- 如何重灌电脑WindowsXP操作系统教学(上)
- 如何重灌电脑WindowsXP操作系统教学(下)
- 使用SATA及SCSI硬盘在安装WindowsXP会重新开机的问题
- WindowsXP驱动程序安装教学
中毒的案例及解毒示范:
- 电脑中毒怎么办?ADSL可以拨号不能上网?PING [?] 问号
- 看影片也会中毒!real player自动开启的广告
- 随身碟病毒与无法显示所有的档案
- W32.Looked.BK感染硬盘中的执行文件
- 移除流氓软件Adware.CDN cdnprot.sys示范教学
- 所有的档案都被覆写,变成小恶魔exe檔
- Windows98里的木马程序「4wd!!!/C:\WINDOWS\Natal!.pif」移除教学
每个方法都有它的使用时机,值得你详细的阅读,一般来说,可以解决大部份的问题。也许有人会觉得怎么内容这么多,好像有点复杂?有没有简单一点的方法,当然有!! 送电脑公司。
解毒的流程
解电脑病毒流程只能提供一个大方向,你可以根据情况来做调整解毒的步骤,不一定要依照每个步骤下去操作,而且每个步骤也不一定只会操作一次,例如:
1) 步骤【Step 3】检查登录表(Registry),你都可以随时去检查一下病毒有没有复发。
2) 步骤【Step 5】使用工具软件(Anti-Virus/Spyware/Trojan horse software) ,也不是只扫一次就好,通常扫完第一次后都要重新开机,然后再扫一次,目的就是要确认病毒是否真的已经清除掉了。
3) 步骤【Step 4】找出可疑的档案并移除它,也不能保证在开机过后,可疑的档案会不会再跑出来。
以下就是我整理出来的解毒流程:
【Step 1】关掉WindowsXP SP2的「系统还原(System Restore)」
你可以从「开始菜单」中开启「控制台」->「系统」,出现〔系统内容〕对话盒时,请切换到〔系统还原〕活页卷标,如下图:
我不晓得该怎么形容这个「系统还原」,「成事不足,败事有余」是我对它的评价,有时真正需要用到它的时候,它都次都给我「还原失败」,这就算了,这个「系统还原」储存的地方常常都是病毒的避难所,原因就是防毒软件没有办法清系统还原数据夹(System Volume Information)里的病毒,所以干脆就把它关了吧!
【Step 2】尽可能的更新病毒码(virus definitions files)及扫毒引擎(Scan Engine)
用过很多防毒软件,其中最满意的防毒软件是赛门铁克Symantec Antivirus,推荐大家也用它。诺顿防毒软件(Norton Symantec Antivirus)都是使用「立即更新(Live Upate)」去更新病毒码, 可是有时候也会需要去下载病毒码来更新,如中毒了无法上网,就需要到别台可以上网的电脑去抓病毒定义文件回来更新,以下是常见的防毒/防木马软件(Antivirus/Anti-Trojan horse)相关更新的下载网页:
赛门铁克(NortonSymantec)
- 病毒定义文件下载
趋势科技(Trend Micro)
- 病毒码下载
- 扫瞄引擎下载
卡巴斯基实验室(Kaspersky Lab)
- 7.0手动更新病毒码
- 6.0手动更新病毒码
Lavasoft Adaware
- Current Definition File下载
如果你电脑没有安装防毒软件,或是你想试试其它家的防毒软件,你可以透过以下所整理好的防毒软件下载清单来下载试用。
1) 赛门铁克Norton Internet Security防毒软件下载
2) 卡巴斯基Kaspersky Internet Security防毒软件下载
3) ESET NOD32防毒软件下载
【Step 3】检查登录表(Registry)
先检查登录表上有没有可疑的值,详细教学请参考「电脑中毒怎么办?手动解毒移除教学」一文,如果有检查到可疑的值,最好可以在清掉上面登录值前,先将〔登录名称〕及〔数据〕抄下来,一方面是为了怕误杀,一方面是可以手动的找到这个可疑档案的位置,如果防毒软件没有杀掉它的话,我们就可以手动的删除它。
关于「可疑的值」,你可比对我在本文最后整理的「有问题」及「正常的」登录值表格,而两个表格我会持续的更新。
【Step 4】找出可疑的档案并移除它
在档案总管或是命令提示字符中找出刚刚抄下来可疑档案的位置,并删除它,教学请参考「电脑中毒怎么办?使用工具软件来解毒」一文,若是因为拒绝存取或是档案使用中,请使用「Windows工作管理员」,在〔处理程序〕活页卷标中,将有问题的"处理程序",使用窗口下方的〔结束处理程序(E)〕来终止它,如果它还是会再度的出现在就先不用理会它,我们会在【Step 6】进入「安全模式」时来处理它,而有关「Windows工作管理员」的使用请参考「电脑中毒怎么办?工作管理员的解毒方法」一文。
【Step 5】使用工具软件完整扫描电脑
由于需要检查的地方太多且太杂,使用工具软件可以帮助我们找到更多我们没有检查到的区域,你可以在这里使用防毒软件或防木马软件来对电脑做完整的扫描,在这个步骤也许会有防毒软件清除不了的病毒或是木马程序,别担心,待会要到「Windows安全模式」再一起解决。相关的教学请参考「电脑中毒怎么办?使用工具软件来解毒」及「寻找木马间谍程序新利器PC Tools的Spyware Doctor」。
【Step 6】进入安全模式
进入安全模式后,因为系统只加载基本的开机的程序及驱动程序,所以”有可能”病毒就没有被加载,所以在这个时候来进行清除病毒的动作会比较有效。
接下来就请做:
- 1) 使用「档案总管」或是「命令提示字符」找到【Step 4、5】因为拒绝存取或使用中而杀不掉的档案,再试着杀杀看。
- 2) 【Step 3】再次检查登录表有没有可疑的值。
- 3) 接下来再次使用【Step 5】防毒软件(Antivirus、adaware)再试着清看看。
- 4) 如果在安全模式下删除有问题的档案时还会出现档案正在使用中之类的讯息,请参考【Step 8】特别状况。
进入「安全模式」的方法,请你在打开电脑之后,看到WindowsXP开始的图案之前,一直的按「F8」按键,之后会出现一个黑底白字的画面,这时请选择第一个「安全模式」进入,如果你会命令提示字符,也可以选择「安全模式(含命令提示字符)」:
之后的画面如下,请直接按「Enter」继续。
进入Windows后请选择一位使用者进入后,你会看到此「桌面」对话盒,这时请按〔是(Y)〕按钮:
进入到桌面后,你会发现到和平常的桌面不太一样,四个角落都有「安全模式」的文字,而且颜色变的怪怪的,这是因寪Windows只加载基本的装置驱动程序。
【Step 7】重新开机
重新开机后,请再回到【Step 3】,再次检查所移除的程序有没有复发的现象。
(如果你发现已经杀掉的木马会一再的复发,就要请找更专业的人士解决,或是重灌了。如果你还想再继续解的话,你可以上网去搜寻这个木马的相关数据,再想对策来解决)
【Step 8】. 特别状况(以下操作比较困难)
特别状况中的处理方法会使用到一些光盘,有些使用者可能没有这些光盘所以没有办法操作。
1). 如果可疑档案所在磁盘的档案系统是FAT32、FAT16,那你可以直接使用Dos开机片开机后再做清除的动作,这时不管什么档案,绝不会再出现「档案使用中或拒绝」的情况。(在这个里你必需要会基本的Dos指令,才有办法操作)
2). 如果所在磁盘的档案系统是NTFS的话,你可以利用WindowsXP的光盘片开机,进入到安装程序选择时,按【R】按键,进入复原主控台,然后Dos指令清除这些档案。(在这个里你必需要会基本的Dos指令,才有办法操作,详细进入的方法请参考「电脑突然就不能开机了?NTLDR is missing」)
3). 另外,你也可以使用WinPE光盘直接开机,这时不管什么档案或是档案系统,也都直接可以做删除的动作,因为开机并不是使用到原本的WindowsXP系统,而是使用光盘上的开机系统)。
你可以下载微软官方所释出的WinPE映像档(简体),或自行到各大论坛去寻找下载档。
有关网友FLYMOONX对系统还原的疑问
「病毒真的是都藏在系统还原里面吗?」谢谢Flymoonx问了这么好的问题。
这个答案是肯定的,我有多次看到病毒在「System Volume Information」系统还原数据夹出现过,而且,在Symantec的官方标准解毒程序里,开宗明义的第一个步骤,就是要关闭系统还原(Disable System Restore) ,其原因就是防毒软件无法进入这个区域扫毒,所以就要靠关闭系统还原的功能将里面的病毒清除,以免病毒再次复发。而在病毒完全清除后,你还是可以再次打开系统还原这个功能。
根据微软Microsoft技术文件说明,「系统还原」功能不允许公用程序操控此数据夹与档案,由于这一点,防毒程序无法移除此数据存放区中档案的病毒。
这样的规则到最后,防毒软件乖乖的听从「系统还原」指示不能越轨进入,而木马病毒只把「系统还原」的游戏规则当参考用,在数据夹内进进出出的,防毒软件要抓它时,就躲进去在里面大笑:「呆子,抓不到~~」。
赛门铁克其中一种病毒的解毒步骤:W32.Rontokbro.AN@mm
微软的说明文件:防毒软件工具无法清除在还原数据夹内受到感染的档案(Antivirus Tools Cannot Clean Infected Files in the _Restore Folder)
有问题的登录值总整理
只要你发现你的登录值里有符合以下任何一个值,直接删除它就对了!
| 名称 | 资料 |
|---|---|
| cmdbcs | C:\WINDOWS\SVCHOST.EXE |
| cmdbcs | C:\WINDOWS\cmdbcs.exe |
| fzg | C:\WINDOWS\Config\svhost32.exe |
| svchost | C:\WINDOWS\system32\SVSH0ST.EXE |
| load | C:\WINDOWS\uninstall\rundl132.exe |
| mhsa | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\mhso.exe |
| mnsa | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\mnso.exe |
| msccrt | C:\WINDOWS\LSASS.EXE |
| MsIMMs32 | C:\WINDOWS\12Sy.exe |
| qjsa | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\qjso.exe |
| rxsa | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\rxso.exe |
| tlsa | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\tlso.exe |
| wlsa | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\wlso.exe |
| wosa | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\woso.exe |
| ztsa | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\ztso.exe |
| WSVBRS | C:\WINDOWS\RUNDLL32.exe |
| upxdnd | C:\WINDOWS\upxdnd.exe |
| svc | C:\DOCUME~1\使用者账号\LOCALS~1\Temp\byetmr.exe |
| 1MJPMIG_ | C:\WINDOWS\IMEINPUTS.EXE |
| wssttrs | C:\WINDOWS\wssttrs.exe |
| Microsoft Autorun9 | C:\WINDOWS\system32\Ravasktao.exe |
| Microsoft Autorun14 | C:\WINDOWS\system32\ztinetzt.exe |
| Microsoft Autorun5 | C:\WINDOWS\system32\mosou.exe |
| Microsoft Autorun10 | C:\WINDOWS\system32\nwizwmgjs.exe |
| Microsoft Autorun6 | C:\WINDOWS\system32\mydata.exe |
| MailScanner | C:\DOCUME~1\使用者账号\LOCALS~1\adsl.exe |
| system | C:\Program Files\Common Files\system\Updaterun.exe |
| kava | C:\WINDOWS\system32\kavo.exe |
| Iexplore Data2 Center13 | C:\WINDOWS\System32\firestore3.exe |
| sck12 | C:\WINDOWS\system32\helpsys.exe |
| sixer5 | C:\WINDOWS\system32\ssc.exe |
| sysms | C:\WINDOWS\system32\sysem.exe |
| Systam13 | icsws.exe |
| Windows Shield | igkxibxhu.exe |
| mmsass | mmdmm.exe |
| johkjh | C:\WINDOWS\system32\srvd.exe |
| melg3445 | C:\WINDOWS\system32\mdmdd.exe |
| 持续更新中... |
安全的登录值总整理
以下整理的登录值都是一般常见正常的登录值,请不要动到它。
| 名称 | 资料 |
|---|---|
| IMJPMIG8.1 | "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 |
| MSPY2002 | C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC |
| NvCplDaemon | RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup |
| NvMediaCenter | RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit |
| nwiz | nwiz.exe /install |
| PHIMETIPSYNC | C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync |
| Smapp | C:\Program Files\Analog Devices\SoundMAX\SMTray.exe |
| ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe |
| Yahoo! Pager | "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet |
| MSMSGS | "C:\Program Files\Messenger\msmsgs.exe" /background |
| msnmsgr | "C:\Program Files\MSN Messenger\msnmsgr.exe" /background |
| swg | C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe |
| Skype | "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized |
| 持续更新中... |
