廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 12020 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
shareget01
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x10 鮮花 x9
分享: 轉寄此文章 Facebook Plurk Twitter 版主評分 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 電腦中毒怎麼辦,手動解毒教學
本文出處:電癮院:電腦中毒怎麼辦?手動解毒移除教學


如何D.I.Y.清除木馬病毒

  清木馬病毒,我們從兩個方面來談,「已知」和「未知」,由防毒軟體或是Ad-aware查出來而清不掉的我們稱這種為「已知」;而「未知」就是防毒軟體和Ad-aware沒發覺到的。

  我們先從「未知」的先來談,防毒及Ad-aware都是要靠更新病毒定義檔,才有辦法找出最新的病毒。病毒定義檔就好似我們小時常接種的「疫苗」,如果你沒接種過疫苗,就會有生病的危險。所以如果沒有經常的更新病毒定義檔,或是碰到的木馬病毒太新、太稀少還沒被製作成病毒定義檔的,那你就會不知不覺的中毒。

  手動解毒的部份對於許多的沒有經驗的人可能有點複雜,請你一定要耐住性子慢慢的看到最後,這些東西很少人會講的那麼清楚明白,我都把我的解毒的技術完全寫出來了,你還不看?相信我學到就是你的,你也就不用一再的花錢請電腦公司解毒了。



尋找未知的木馬程式及電腦病毒

  一般我找這種未知的,第一步都是先從Windows開機時會載入的程式來找,也就是找「啟動」及各個「登錄表」的值。

「啟動」資料夾總共有二種:你可以從我的電腦中的本機磁碟C,一層一層的點進去。

  1. 第一種「啟動」資料夾是每個XP、2k使用者都會有一個,它的位置位於
    「C:\Documents and Settings\使用者名字\「開始」功能表\程式集\啟動 」
  2. 第二種「啟動」資料夾是全部使用者共用的,它位於
    「C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動」

第一種啟動資料夾和第二種比較,你可以很明顯看出差異性就是一個是你自己使用者的名字,另一個名字則叫All Users。



  再來就是檢查系統登錄表,你可以在「開始功能表」裡的「執行」裡,輸入「regedit」,來開啟「登錄編輯程式」,









而需要你去檢查的位置如以下介紹,請你一層一層的追下去:

  1. Run: 這裡是最重要的二個地方

      首先是位於HKEY_LOCAL_MACHINE裡的Run,這裡的啟動程式是最多的,原因是這個地方是所有本機使用者共用的。路徑如下:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\Run



     

      再來是位於HKEY_CURRENT_USER裡的Run,這裡的項目很少,而且裡面的啟動程式資料會因為使用者個別的設定而有所不同,也就是說,如果這個地方有被安插木馬程式的話,你還必需要再登入到另一個使用者那邊去檢查一下這個位置有沒有安全。路徑如下:
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
      \CurrentVersion\Run



     

      我整理了常見的「有問題」及「正常安全」的登錄值,在本文的最後面,這兩個清單會持續的維護。

  2. Userinit: 這也是相當的重要的一個地方,幾乎每個中毒的電腦這個地方都有問題。它的路徑如下:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


      通常該登錄鍵下面有一個正常的值如下:
      【C:\WINDOWS\system32\userinit.exe,】

     

      但這個鍵允許指定用逗號分隔的多個程式,
      例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】

      所以你只要把逗號後面的所有文字全部刪除掉,只留下C:\WINDOWS\system32\userinit.exe,就好了。

     

  3. Load: 這個會有問題的情況會比較少一些,不過rundl132.exe這個木馬病毒通常都喜歡躲在這。

      HKEY_CURRENT_USER\SOFTWARE\Microsoft       Windows NT\CurrentVersion\Windows\load



      你只要檢查名稱load的那一行,確定資料欄位是空白的。

     

  4. RunOnce :RunOnce、RunOnceEx、RunServices會出現狀況的機率就更少了(有些電腦甚至沒有這些鍵值如RunServices),一般正常的情況,這裡面只會有一個「(預設值) REG_SZ (數值未設定)」在裡面,除此之外,這裡面「不應該」被放置「任何的程式」,如果有其它的程式在上面,全部殺掉。如下圖是一個正常的情況:



      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunOnce

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunOnceEx

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunOnce

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunOnceSetup

     

  5. RunServices

      HKEY_CURRENT_USER\SOFTWARE\Windows
      \CurrentVersion\RunServices

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunServicesOnce

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunServices

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunServicesOnce

  



  對初學者來說,看這些登錄表的困難度,就是在什麼可以殺?什麼不可以殺?要是你胡亂殺了一堆東西,雖然當下沒有感覺到有什麼不一樣,可是一旦你重新開機,你就知道後果了。

  所以要學會怎麼看這個東西可以殺或是不能殺,是要靠經驗的。所以建議大家,拿起你的筆記本,看你要記在電腦裡還是記在紙上,將上述的這些需要注意的登錄表完整的抄下來,將來中毒時,就可以用來判斷有什麼東西多了出來,一般來說,多出來的那個東西就有可能是木馬程式或是電腦病毒,當然也有可能是你後來才安裝上來的程式軟體。

  要記些什麼東西?以我目前自己電腦為例,第1個Run裡的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 我會記下
第一筆 名稱 ctfmon.exe 數值資料 C:\WINDOWS\system32\ctfmon.exe
第一筆 名稱Yahoo! Pager數值資料 "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
以此類推。

電癮院還有更多不可思議的教學文章:
1. 每個人都要學的Word實用技巧教學-「合併列印」
2.電腦中毒了要怎麼辦?處理流程教學總整理
3.好康消息:原來寫部落格、網站也能賺錢!!


[ 此文章被shareget01在2007-07-29 10:10重新編輯 ]

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供 參考資料 數位男女因你而豐富



獻花 x2 回到頂端 [樓 主] From:臺灣臺北市 | Posted:2007-04-06 15:32 |
LostDream
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

現在原創教學超少見了 表情

不過..,拿Ad-aware SE Personal來掃木馬,效果可能非常有限。


獻花 x0 回到頂端 [1 樓] From:臺灣中華HiNet | Posted:2007-04-07 00:56 |
shareget01
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x10 鮮花 x9
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

配合用還OK,這裡最精華的是列出最重要每次開機時會被執行的程式的地方,
檢查這些地方就會清掉不少的木馬了。


獻花 x0 回到頂端 [2 樓] From:臺灣中華HiNet | Posted:2007-04-07 10:15 |
shareget01
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x10 鮮花 x9
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

最近在部落格把這篇文章又補充了一些東西,有興趣的朋友可以過去看。


獻花 x0 回到頂端 [3 樓] From:臺灣 | Posted:2007-04-29 00:17 |
shareget01
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x10 鮮花 x9
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片



獻花 x0 回到頂端 [4 樓] From:臺灣 | Posted:2007-04-29 00:18 |
shareget01
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x10 鮮花 x9
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

謝謝數位男女的朋友造訪我的解毒教學部落格,近日(2007年5月28起~至2007年6月30日)痞客幫舉辦一個「痞客爽 」的活動。

當你關閉或離開網誌文章,系統會帶您進入評分機制,你可以對此部落格做評分,而且可以填入個人資料來參加抽獎的活動。

我的部落格小站「電癮院」也入選「痞客爽推薦優格」之一,競爭對手都相當的優秀,更有部落格大站名列其中,要勝出的機會難上加難,不過相信熱情MyAV的朋友,一定會做出最佳選擇的。


獻花 x0 回到頂端 [5 樓] From:臺灣中華HiNet | Posted:2007-05-28 09:05 |
colaeric
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x8
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

我都用Hijackthis一手包辦 表情


獻花 x0 回到頂端 [6 樓] From:美國 | Posted:2007-07-22 02:29 |
syyy
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x2
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

等我試試,多謝樓主。提供。


獻花 x0 回到頂端 [7 樓] From:APNIC | Posted:2007-07-24 03:54 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.059351 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言