在Ad-aware中，有些木馬病毒解不掉

　　Ad-aware SE Personal是Lavasoft提供给个人免费使用的一套软件，能「"被动」的解掉木马病毒，为什么说是「"被动」呢？就是等你中标了，再来治疗的动作。别人免费让我们使用，就别抱怨了。

　　但是Ad-aware有时虽然可以抓的到木马病毒，可是会因为病毒已经加载内存中了，所以没有办法将木马病毒给终止结束掉，它会请你将电脑重新开机后，再次进入Windows后，就自动进行一次扫描，基本上如果Ad-aware比病毒还要早加载的话，木马病毒多半是可以解掉的；但...要是病毒又先加载了呢？那就要自己D.I.Y.了。　

如何D.I.Y.清除木马病毒

　　清木马病毒，我们从两个方面来谈，「已知」和「未知」，由防毒软件或是Ad-aware查出来而清不掉的我们称这种为「已知」；而「未知」就是防毒软件和Ad-aware没发觉到的。

　　我们先从「未知」的先来谈，防毒及Ad-aware都是要靠更新病毒定义文件，才有办法找出最新的病毒。病毒定义文件就好似我们小时常接种的「疫苗」，如果你没接种过疫苗，就会有生病的危险。所以如果没有经常的更新病毒定义文件，或是碰到的木马病毒太新、太稀少还没被制作成病毒定义文件的，那你就会不知不觉的中毒。

　　手动解毒的部份对于许多的没有经验的人可能有点复杂，请你一定要耐住性子慢慢的看到最后，这些东西很少人会讲的那么清楚明白，我都把我的解毒的技术完全写出来了，你还不看？相信我学到就是你的，你也就不用一再的花钱请电脑公司解毒了。

寻找未知的木马程序及电脑病毒

　　一般我找这种未知的，第一步都是先从Windows开机时会加载的程序来找，也就是找「启动」及各个「登录表」的值。

「启动」数据夹总共有二种：你可以从我的电脑中的本机磁盘C，一层一层的点进去。

1. 第一种「启动」数据夹是每个XP、2k使用者都会有一个，它的位置位于
   「C:\Documents and Settings\使用者名字\「开始」菜单\程序集\启动 」
2. 第二种「启动」数据夹是全部使用者共享的，它位于
   「C:\Documents and Settings\All Users\「开始」菜单\程序集\启动」

第一种启动数据夹和第二种比较，你可以很明显看出差异性就是一个是你自己使用者的名字，另一个名字则叫All Users。

　　再来就是检查系统登录表，你可以在「开始菜单」里的「执行」里，输入「regedit」，来开启「登录编辑程序」，

而需要你去检查的位置如以下介绍，请你一层一层的追下去：

1. Run： 这里是最重要的二个地方

首先是位于HKEY_LOCAL_MACHINE里的Run，这里的启动程序是最多的，原因是这个地方是所有本机使用者共享的。路径如下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run



 

再来是位于HKEY_CURRENT_USER里的Run，这里的项目很少，而且里面的启动程序数据会因为使用者个别的设定而有所不同，也就是说，如果这个地方有被安插木马程序的话，你还必需要再登入到另一个使用者那边去检查一下这个位置有没有安全。路径如下：
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run



 

我整理了常见的「有问题」及「正常安全」的登录值，在本文的最后面，这两个清单会持续的维护。

2. Userinit： 这也是相当的重要的一个地方，几乎每个中毒的电脑这个地方都有问题。它的路径如下：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


通常该登录键下面有一个正常的值如下：
【C:\WINDOWS\system32\userinit.exe,】

 

但这个键允许指定用逗号分隔的多个程序，
例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】

所以你只要把逗号后面的所有文字全部删除掉，只留下C:\WINDOWS\system32\userinit.exe,就好了。

 

3. Load： 这个会有问题的情况会比较少一些，不过rundl132.exe这个木马病毒通常都喜欢躲在这。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows\load



你只要检查名称load的那一行，确定数据域位是空白的。

 

4. RunOnce ：RunOnce、RunOnceEx、RunServices会出现状况的机率就更少了(有些电脑甚至没有这些键值如RunServices)，一般正常的情况，这里面只会有一个「(默认值)　REG_SZ　(数值未设定)」在里面，除此之外，这里面「不应该」被放置「任何的程序」，如果有其它的程序在上面，全部杀掉。如下图是一个正常的情况：



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceSetup

 

5. RunServices

HKEY_CURRENT_USER\SOFTWARE\Windows
\CurrentVersion\RunServices

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce

　　对初学者来说，看这些登录表的困难度，就是在什么可以杀？什么不可以杀？要是你胡乱杀了一堆东西，虽然当下没有感觉到有什么不一样，可是一旦你重新开机，你就知道后果了。

　　所以要学会怎么看这个东西可以杀或是不能杀，是要靠经验的。所以建议大家，拿起你的笔记本，看你要记在电脑里还是记在纸上，将上述的这些需要注意的登录表完整的抄下来，将来中毒时，就可以用来判断有什么东西多了出来，一般来说，多出来的那个东西就有可能是木马程序或是电脑病毒，当然也有可能是你后来才安装上来的程序软件。

　　要记些什么东西？以我目前自己电脑为例，第１个Run里的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 我会记下
第一笔　名称 ctfmon.exe　数值资料 C:\WINDOWS\system32\ctfmon.exe
第一笔　名称Yahoo! Pager数值资料 "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
以此类推。

一些基本常识

以下内容是很基本的常识，但是对一些初学者还是要简单的说一下，虽然操作系统一直的演进，但是这两个常识一直还是存在的。

路径的常识：

　　所谓的路径就是 C:\WINDOWS\system32\ctfmon.exe，

　　它可以分解成 「C: 」、「WINDOWS」 、「system32」及「ctfmon.exe」，代表的意思即是有一个档案叫「ctfmon.exe」，它被放在「C: 」磁盘的「WINDOWS 」数据夹的「system32」数据夹内。

　　由这个例子可以明白的看出每个数据夹都会隔着「\」斜线符号。

档案的常识：

　　接着同样以上面的例子为例子，「ctfmon.exe」

　　每一个档案都有一个主檔名和一个扩展名组成，中间以一个「.」(点符号)隔开，主档名代表这个档案叫什么名字，主要是给使用者做记忆用，而扩展名就比较重要了，它代表了这个档案是什么样的一个档案，如图片文件、音乐文件...等等。

　　早期DOS时代主档名只有8位，扩展名为3位；而现在Windows时代，主档名可以随便取(当然不是要多长就多长，还是有限制的)，扩展名虽然也可以取的很长，但是还是都以3个字为主。

一个解毒的示范 (2007.6.8补充)

　　下图为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run的数值，以底下这个例子可以看到一个不寻常的地方，你看出来了吗？

　　唯一的问题出在第一个「(默认值)」，这个「名称」的「数据」数值是空白，你可以看一下上面第一个Run的图片。

　　所以这个的解决方法就是用鼠标左键双点两下「(默认值)」，然后会出现下面这个「编辑字符串」窗口，你只要将「数值数据」里的那串数值
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」给清除掉，然后再按「确定」就好了。

　　接下来是Userinit这个位置，这个位置也是最常有病毒的地方，如下图我抓下来的Init的截图，这个截图我有修改过，这是为了要完整个看到整个Userinit字符串。

这个Userinit字符串如下，「C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,」

这个Userinit有两个部份，分别是userinit.exe及svchost.exe，根据上面的Userinit的说明可以知道，除了userinit.exe以外的东西都是病毒，所以你要将userinit.exe以外的东西都清除掉，你可以使用鼠标左键双点两下「Userinit」这个位置，然后将数值数据改成这样
「C:\WINDOWS\system32\userinit.exe,」，然后再按「确定」就解决了。

当然重新开机之后，最好可以再去把这几个病毒档案给删除掉，
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」及
「C:\Program Files\Windows Media Player\svchost.exe」。

Ps 1：特别注意到xiao.exe这个档案的位置，这个位置经常会有病毒在这里，因为它是Windows的暂存区，所以建议经常要去清理这个位置，较完整的路径就像这样 C:\Documents and Settings\EndUser\Local Settings\Temp。

Ps2：svchost.exe这个档案的正确路径是在C:\Windows\system32里，如果它出现在其它位置就代表它是假货，就像是这个例子一样。

有问题的登录值总整理

　　只要你发现你的登录值里有符合以下任何一个值，直接删除它就对了!

安全的登录值总整理

　　以下整理的登录值都是一般常见正常的登录值，请不要动到它。