在Ad-aware中,有些木馬病毒解不掉
Ad-aware SE Personal是Lavasoft提供給個人免費使用的一套軟體,能「"被動」的解掉木馬病毒,為什麼說是「"被動」呢?就是等你中標了,再來治療的動作。別人免費讓我們使用,就別抱怨了。
但是Ad-aware有時雖然可以抓的到木馬病毒,可是會因為病毒已經載入記憶體中了,所以沒有辦法將木馬病毒給終止結束掉,它會請你將電腦重新開機後,再次進入Windows後,就自動進行一次掃描,基本上如果Ad-aware比病毒還要早載入的話,木馬病毒多半是可以解掉的;但...要是病毒又先載入了呢?那就要自己D.I.Y.了。
如何D.I.Y.清除木馬病毒
清木馬病毒,我們從兩個方面來談,「已知」和「未知」,由防毒軟體或是Ad-aware查出來而清不掉的我們稱這種為「已知」;而「未知」就是防毒軟體和Ad-aware沒發覺到的。
我們先從「未知」的先來談,防毒及Ad-aware都是要靠更新病毒定義檔,才有辦法找出最新的病毒。病毒定義檔就好似我們小時常接種的「疫苗」,如果你沒接種過疫苗,就會有生病的危險。所以如果沒有經常的更新病毒定義檔,或是碰到的木馬病毒太新、太稀少還沒被製作成病毒定義檔的,那你就會不知不覺的中毒。
手動解毒的部份對於許多的沒有經驗的人可能有點複雜,請你一定要耐住性子慢慢的看到最後,這些東西很少人會講的那麼清楚明白,我都把我的解毒的技術完全寫出來了,你還不看?相信我學到就是你的,你也就不用一再的花錢請電腦公司解毒了。
尋找未知的木馬程式及電腦病毒
一般我找這種未知的,第一步都是先從Windows開機時會載入的程式來找,也就是找「啟動」及各個「登錄表」的值。
「啟動」資料夾總共有二種:你可以從我的電腦中的本機磁碟C,一層一層的點進去。
- 第一種「啟動」資料夾是每個XP、2k使用者都會有一個,它的位置位於
「C:\Documents and Settings\使用者名字\「開始」功能表\程式集\啟動 」 - 第二種「啟動」資料夾是全部使用者共用的,它位於
「C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動」
第一種啟動資料夾和第二種比較,你可以很明顯看出差異性就是一個是你自己使用者的名字,另一個名字則叫All Users。
再來就是檢查系統登錄表,你可以在「開始功能表」裡的「執行」裡,輸入「regedit」,來開啟「登錄編輯程式」,
而需要你去檢查的位置如以下介紹,請你一層一層的追下去:
- Run: 這裡是最重要的二個地方
- Userinit: 這也是相當的重要的一個地方,幾乎每個中毒的電腦這個地方都有問題。它的路徑如下:
- Load: 這個會有問題的情況會比較少一些,不過rundl132.exe這個木馬病毒通常都喜歡躲在這。
- RunOnce :RunOnce、RunOnceEx、RunServices會出現狀況的機率就更少了(有些電腦甚至沒有這些鍵值如RunServices),一般正常的情況,這裡面只會有一個「(預設值) REG_SZ (數值未設定)」在裡面,除此之外,這裡面「不應該」被放置「任何的程式」,如果有其它的程式在上面,全部殺掉。如下圖是一個正常的情況:
- RunServices
首先是位於HKEY_LOCAL_MACHINE裡的Run,這裡的啟動程式是最多的,原因是這個地方是所有本機使用者共用的。路徑如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
再來是位於HKEY_CURRENT_USER裡的Run,這裡的項目很少,而且裡面的啟動程式資料會因為使用者個別的設定而有所不同,也就是說,如果這個地方有被安插木馬程式的話,你還必需要再登入到另一個使用者那邊去檢查一下這個位置有沒有安全。路徑如下:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
我整理了常見的「有問題」及「正常安全」的登錄值,在本文的最後面,這兩個清單會持續的維護。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
通常該登錄鍵下面有一個正常的值如下:
【C:\WINDOWS\system32\userinit.exe,】
但這個鍵允許指定用逗號分隔的多個程式,
例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】所以你只要把逗號後面的所有文字全部刪除掉,只留下C:\WINDOWS\system32\userinit.exe,就好了。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows\load
你只要檢查名稱load的那一行,確定資料欄位是空白的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceExHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceSetup
HKEY_CURRENT_USER\SOFTWARE\Windows
\CurrentVersion\RunServicesHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce
對初學者來說,看這些登錄表的困難度,就是在什麼可以殺?什麼不可以殺?要是你胡亂殺了一堆東西,雖然當下沒有感覺到有什麼不一樣,可是一旦你重新開機,你就知道後果了。
所以要學會怎麼看這個東西可以殺或是不能殺,是要靠經驗的。所以建議大家,拿起你的筆記本,看你要記在電腦裡還是記在紙上,將上述的這些需要注意的登錄表完整的抄下來,將來中毒時,就可以用來判斷有什麼東西多了出來,一般來說,多出來的那個東西就有可能是木馬程式或是電腦病毒,當然也有可能是你後來才安裝上來的程式軟體。
要記些什麼東西?以我目前自己電腦為例,第1個Run裡的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
我會記下
第一筆 名稱 ctfmon.exe 數值資料 C:\WINDOWS\system32\ctfmon.exe
第一筆 名稱Yahoo! Pager數值資料 "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
以此類推。
一些基本常識
以下內容是很基本的常識,但是對一些初學者還是要簡單的說一下,雖然作業系統一直的演進,但是這兩個常識一直還是存在的。
路徑的常識:
所謂的路徑就是 C:\WINDOWS\system32\ctfmon.exe,
它可以分解成 「C: 」、「WINDOWS」 、「system32」及「ctfmon.exe」,代表的意思即是有一個檔案叫「ctfmon.exe」,它被放在「C: 」磁碟的「WINDOWS 」資料夾的「system32」資料夾內。
由這個例子可以明白的看出每個資料夾都會隔著「\」斜線符號。
檔案的常識:
接著同樣以上面的例子為例子,「ctfmon.exe」
每一個檔案都有一個主檔名和一個副檔名組成,中間以一個「.」(點符號)隔開,主檔名代表這個檔案叫什麼名字,主要是給使用者做記憶用,而副檔名就比較重要了,它代表了這個檔案是什麼樣的一個檔案,如圖片檔、音樂檔...等等。
早期DOS時代主檔名只有8位,副檔名為3位;而現在Windows時代,主檔名可以隨便取(當然不是要多長就多長,還是有限制的),副檔名雖然也可以取的很長,但是還是都以3個字為主。
一個解毒的示範 (2007.6.8補充)
下圖為HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run的數值,以底下這個例子可以看到一個不尋常的地方,你看出來了嗎?
唯一的問題出在第一個「(預設值)」,這個「名稱」的「資料」數值是空白,你可以看一下上面第一個Run的圖片。
所以這個的解決方法就是用滑鼠左鍵雙點兩下「(預設值)」,然後會出現下面這個「編輯字串」視窗,你只要將「數值資料」裡的那串數值
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」給清除掉,然後再按「確定」就好了。
接下來是Userinit這個位置,這個位置也是最常有病毒的地方,如下圖我抓下來的Init的截圖,這個截圖我有修改過,這是為了要完整個看到整個Userinit字串。
這個Userinit字串如下,「C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,」
這個Userinit有兩個部份,分別是userinit.exe及svchost.exe,根據上面的Userinit的說明可以知道,除了userinit.exe以外的東西都是病毒,所以你要將userinit.exe以外的東西都清除掉,你可以使用滑鼠左鍵雙點兩下「Userinit」這個位置,然後將數值資料改成這樣
「C:\WINDOWS\system32\userinit.exe,」,然後再按「確定」就解決了。
當然重新開機之後,最好可以再去把這幾個病毒檔案給刪除掉,
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」及
「C:\Program Files\Windows Media Player\svchost.exe」。
Ps 1:特別注意到xiao.exe這個檔案的位置,這個位置經常會有病毒在這裡,因為它是Windows的暫存區,所以建議經常要去清理這個位置,較完整的路徑就像這樣 C:\Documents and Settings\EndUser\Local Settings\Temp。
Ps2:svchost.exe這個檔案的正確路徑是在C:\Windows\system32裡,如果它出現在其它位置就代表它是假貨,就像是這個例子一樣。
有問題的登錄值總整理
只要你發現你的登錄值裡有符合以下任何一個值,直接刪除它就對了!
| 名稱 | 資料 |
|---|---|
| cmdbcs | C:\WINDOWS\SVCHOST.EXE |
| cmdbcs | C:\WINDOWS\cmdbcs.exe |
| fzg | C:\WINDOWS\Config\svhost32.exe |
| svchost | C:\WINDOWS\system32\SVSH0ST.EXE |
| load | C:\WINDOWS\uninstall\rundl132.exe |
| mhsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mhso.exe |
| mnsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mnso.exe |
| msccrt | C:\WINDOWS\LSASS.EXE |
| MsIMMs32 | C:\WINDOWS\12Sy.exe |
| qjsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\qjso.exe |
| rxsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\rxso.exe |
| tlsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\tlso.exe |
| wlsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\wlso.exe |
| wosa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\woso.exe |
| ztsa | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\ztso.exe |
| WSVBRS | C:\WINDOWS\RUNDLL32.exe |
| upxdnd | C:\WINDOWS\upxdnd.exe |
| svc | C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\byetmr.exe |
| 1MJPMIG_ | C:\WINDOWS\IMEINPUTS.EXE |
| wssttrs | C:\WINDOWS\wssttrs.exe |
| Microsoft Autorun9 | C:\WINDOWS\system32\Ravasktao.exe |
| Microsoft Autorun14 | C:\WINDOWS\system32\ztinetzt.exe |
| Microsoft Autorun5 | C:\WINDOWS\system32\mosou.exe |
| Microsoft Autorun10 | C:\WINDOWS\system32\nwizwmgjs.exe |
| Microsoft Autorun6 | C:\WINDOWS\system32\mydata.exe |
| MailScanner | C:\DOCUME~1\使用者帳號\LOCALS~1\adsl.exe |
| system | C:\Program Files\Common Files\system\Updaterun.exe |
| kava | C:\WINDOWS\system32\kavo.exe |
| Iexplore Data2 Center13 | C:\WINDOWS\System32\firestore3.exe |
| sck12 | C:\WINDOWS\system32\helpsys.exe |
| sixer5 | C:\WINDOWS\system32\ssc.exe |
| sysms | C:\WINDOWS\system32\sysem.exe |
| Systam13 | icsws.exe |
| Windows Shield | igkxibxhu.exe |
| mmsass | mmdmm.exe |
| johkjh | C:\WINDOWS\system32\srvd.exe |
| melg3445 | C:\WINDOWS\system32\mdmdd.exe |
| 持續更新中... |
安全的登錄值總整理
以下整理的登錄值都是一般常見正常的登錄值,請不要動到它。
| 名稱 | 資料 |
|---|---|
| IMJPMIG8.1 | "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 |
| MSPY2002 | C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC |
| NvCplDaemon | RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup |
| NvMediaCenter | RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit |
| nwiz | nwiz.exe /install |
| PHIMETIPSYNC | C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync |
| Smapp | C:\Program Files\Analog Devices\SoundMAX\SMTray.exe |
| ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe |
| Yahoo! Pager | "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet |
| MSMSGS | "C:\Program Files\Messenger\msmsgs.exe" /background |
| msnmsgr | "C:\Program Files\MSN Messenger\msnmsgr.exe" /background |
| swg | C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe |
| Skype | "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized |
| 持續更新中... |
[ 加入書籤 ]
推薦上專欄
我自己對於感染過後的隨身碟都是直接進行格式化,當然前提是,資料平日都有在做備份。
對我而言,直接格式化就像是電腦重灌一般,快速很多。只不過我不清楚這樣到底有沒有清乾淨徹底。
很感謝你耶
路人 | 03/10/2007 04:32:55你真是大家的救星阿T^T
不好意思,請問一下,我的userinit這一個的資料是"userinit.exe,C:\WINDOWS\system\svchost.exe"這樣耶
跟你的不太一樣,想問是不是有中毒= = ?
不好意思,麻煩你了
謝謝唷:D
我在HKEY_LOCAL_MACHINE裡的run發現了一個我懷疑是病毒的登錄值~不太肯定~
名稱:ISUSPM Startup
資料:C:\PROGA~1\COMMON~1\INSTAL~\update~1\isuspm.exe-startup
可幫我看一看嗎?謝謝你~
謝謝你的解答~
你真是我的救星~~~~^^
我最近關機的時候發現常常會卡在儲存您的設定值這邊
水母 | 23/10/2007 16:13:17但是用卡巴7.0並沒有掃出什麼病毒
而我觀察了一下使用者設定檔
發現他的容量竟然有190 mb
雖然我並不清楚使用者設定當一般應當有多大
但我直覺問題應該出在他身上
請問有辦法可以解決嗎 謝謝
我想請問是所有的名稱(預設值)的資料都是顯示未知數或空白嗎??
小路我的防毒軟体一直顯示;檔案C:\autorun.inf病毒:Win32/PSW.Agent.NDP木馬批注 我該怎辦呢 電腦白癡上
我用Norton Security Scan掃到了一個間諜病毒,資料如下
Spyware.Perfect
病毒 ID: 4294906217
類別: 間諜軟體
-----------
處理:
C:\Program Files\Internet Explorer\iexplore.exe
c:\winnt\stcbcl\stcbcl.exe
感染:
c:\winnt\stcbcl\stcbcl.exe
瀏覽器快取
登錄:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run->stcbcl
在你整理的有問題登錄值沒有看到上面那一個,可以直接把他殺掉嗎?
一直麻煩你,真不好意思.. 謝謝~
It's me again...><
要怎麼殺呢?? 完全找不到那個檔案...
用過了顯示所以隱藏檔案,命令提示字元,安全模式,都找不到!!
麻煩你了,謝謝!!
沒有! 掃到它時,Norton Security Scan表示免費的軟體無法解決此類型的病毒!
剛又掃了一次,它還在!
所以是要去買Norton來解決?
因為你的情況是Norton Security Scan有抓到,可是你又找不到那些檔案,關於這點我也無能為力。但我覺得你可以去下載賽門鐵克的Internet Security 2008試用版先來應應急,也看看是否可以將電腦上的毒都清掉。
謝謝~^^
力紗 | 08/11/2007 10:54:02我會先去找試用版來應急看看,希望能解決呢!!
哈囉,我的電腦中了一個WIN32:SDB的毒,每次掃完毒,一開機又會出現,要用啥辦法解毒呢??好困擾哦~~
我家ㄉ電腦自從上一次強迫關機後就一直出現問題 例如:線上遊戲玩到一半跳出來、奇摩即時通進不去(一按便馬上跳回輸入帳號密碼ㄉ地方)、程式進行速度變慢....等ㄉ情形 請教我要如何處理
不過最好也可以檢查一下硬碟有沒有壞軌之類的問題。
哈囉,我中的毒就一直出現WIN32:SDBOT用了好多個軟體都掃不掉,好煩哦~
http://rogerspeaking.blogspot.com/2007/07/blog-post_26.html
移除的方法不難,請你參考本篇
手動移除教學(http://blog.pixnet.net/changyang319/post/3661585)再配合大砲開講那篇所介紹的內容來移除這個木馬程式。
1我造著你敘述的方法做 發現RUN裡有Kava 跟你的目錄一樣 我把她刪掉了 可是從新開機之後 發現 他又回來了 怎麼辦
2資料裡是不是只要寫著C:\DOUCUME~1\user\LOCALS~\Temp\....\exe的 不管在哪裡(包含Run以外的地方)她就是病毒嗎?
3我發現 我的msnmsgr的寫法跟你的不同(我的是MsnMsgr)而且 他資料的寫法也不同(我的是"C:\Program Files\windowa Live\Messenger\Msn Msgr.Exe"/background)它有問題嗎?
2.如果執行的路徑是C:\DOUCUME~1\user\LOCALS~\Temp\....\*.exe,幾乎一定是病毒
3.那個沒有關係,Msn目前在新舊之間有好幾種版本,它的執行程式也都不一樣,你只要確定你平常執行的Msn程式和那個是同一個就可以了。
最近電腦總是彈出一些視窗說我的電腦中招(Trojan-Spy.Win32@mx)不停地叫我下載防毒程式...可是我也不敢下載
但是我剛才用Ad-ware SE personal掃描了
又清除了找出來的病毒,但是還是不行
然後我又用手動解除
也不行--------怎麼辦??
我寫的這些解毒的方式很多,除非中的這個病毒真的很麻煩,要不然都是可以解的,只不過你解毒的經驗不多,還沒有辦法體會我文章上所說的東西,而遺漏掉某些細節動作。
請教一下
在VISTA要怎麼看登錄值
謝謝您
不好意思又是我
按了開始之後在右側有一個搜尋(沒有開始搜尋這個選項...)打regedit沒用
不知道有沒有搞錯方向了
我的是VISTA BUSINESS版本
謝謝您
2008/1/15 下午 03:37:32 檔案 C:\DOCUME~1\User\LOCALS~1\Temp\taso0.dll: 偵測到 木馬程式 'Trojan-PSW.Win32.OnLineGames.ods'. 使用者: ADMIN-11\User,電腦: localhost.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
這病毒一直出現= ="
我試過你ㄉ方法找..
找是有找到...但是!!
坎不掉!
它一直說我這程式使用中無法刪除>"<
可以幫我一下嗎?如何才能坎掉這個病毒!!
謝謝你^^
我家掃描軟體說有tracking cookie這個病毒,我看知識+,有人說這不是病毒,對於這個,我並不了解,請麻煩你告訴我,我該怎麼刪掉那個毒?我去找過cookies資料夾,並把一些訊息用掉,後來在掃一次,那個病毒未消掉,真令人頭痛,麻煩一下囉!謝
「Cookie」只不過是網站用來記錄我們的帳號及有效登入期間之類的資訊,它並不會強迫我們去上某些有問題的網站,我自己每次掃到有問題的Cookie時,有時連殺都不想殺。
(我觀念有錯的話,還請高手賜教)
我不知道現在是哪裡有問題,只要一連線,不久,他就會說,<自動離線>問我是否要繼續連線。以往,都沒有發生過這樣的事,我不知道為什麼這幾天會這樣。而且網路變的很慢,以前比較沒這樣的問題。我想應該是中毒,但是不知道要怎麼刪。我之前說的cookies資料夾,可以刪掉嗎?我有兩個cookies的資料夾,裡面都有向DVD的檔,刪也刪不掉,每個人都有那個嗎?
C:\Documents and Settings\EndUser\Local Settings\Temp。
問題一:我的電腦在Documents and Settings沒有EndUser這個資料夾...只有user的TEMP裡有暫存資料!!
問題二:是不是所有在TEMP這個資料夾~~裡面的暫存姿造全部清掉會比較好???還是有些是不能刪的???
EX: EZ_temp;WPDNSE;~nsu.tmp這3ㄍ資料夾可以刪ㄇ???
問題二:所有在Temp的資料夾全都清掉沒有關係,裡面所有的東西都是暫時存放的,被殺掉了,應用程式會自己再產生出來。
因為防毒軟體過期~~但是又好像中毒
MILLER | 10/02/2008 13:19:22在你的危險病毒碼當中並沒有發現中毒現象
現在如果還不想重灌~也還不打算賣防毒軟體
我可以如何自救跟檢查?
一直出現以下這些東西
ming70REGKEY:HKCR\interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836}
REGKEY:HKCR\typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb}
REGKEY:HKCR\e404.e404mgr
REGKEY:HKCR\e404.e404mgr.1
REGKEY:HKCR\e404.e404mgr
REGKEY:HKCR\interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836}
REGKEY:HKCR\typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb}
REGKEY:HKCR\e404.e404mgr.1
我是用F-secure ANTI-VIRUS掃描的
找到了卻又刪不掉
而且一直出現
這2天我的F-secure ANTI-VIRUS也變的怪怪的
都不能自動更新
您能不能幫幫我解決我的問題嗎
感激不盡
請問C:\Windows\System3\wincon.exe
可以刪嗎?我掃毒掃到的,這個刪了對電腦會有影響嗎?
而且我真實去找時都找不到這個wincon耶
你之到它的登錄編輯程式嗎?可以從登錄編輯程式改嗎??
我是現上掃毒掃到的,只能偵測到中什麼毒,可是卻沒辦法幫我清除
這個wincon.exe根據網路上的資料,是不好的東西,要清除。
最近我的電腦工作管理員打開有一個
svchost.exe 然後
使用者名稱是SYSTEM
有時候這個處理程序都會讓我的CPU飆到
100
這樣是正常嗎?
至於算不算正常,我也無法肯定的告訴你,Sorry.
我找不到 winlogon 那個資料夾~