广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 12002 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
shareget01
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x10 鲜花 x9
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 电脑中毒怎么办,手动解毒教学
本文出处:电瘾院:电脑中毒怎么办?手动解毒移除教学


如何D.I.Y.清除木马病毒

  清木马病毒,我们从两个方面来谈,「已知」和「未知」,由防毒软体或是Ad-aware查出来而清不掉的我们称这种为「已知」;而「未知」就是防毒软体和Ad-aware没发觉到的。

  我们先从「未知」的先来谈,防毒及Ad-aware都是要靠更新病毒定义档,才有办法找出最新的病毒。病毒定义档就好似我们小时常接种的「疫苗」,如果你没接种过疫苗,就会有生病的危险。所以如果没有经常的更新病毒定义档,或是碰到的木马病毒太新、太稀少还没被制作成病毒定义档的,那你就会不知不觉的中毒。

  手动解毒的部份对于许多的没有经验的人可能有点复杂,请你一定要耐住性子慢慢的看到最后,这些东西很少人会讲的那么清楚明白,我都把我的解毒的技术完全写出来了,你还不看?相信我学到就是你的,你也就不用一再的花钱请电脑公司解毒了。



寻找未知的木马程式及电脑病毒

  一般我找这种未知的,第一步都是先从Windows开机时会载入的程式来找,也就是找「启动」及各个「登录表」的值。

「启动」资料夹总共有二种:你可以从我的电脑中的本机磁碟C,一层一层的点进去。

  1. 第一种「启动」资料夹是每个XP、2k使用者都会有一个,它的位置位于
    「C:\Documents and Settings\使用者名字\「开始」功能表\程式集\启动 」
  2. 第二种「启动」资料夹是全部使用者共用的,它位于
    「C:\Documents and Settings\All Users\「开始」功能表\程式集\启动」

第一种启动资料夹和第二种比较,你可以很明显看出差异性就是一个是你自己使用者的名字,另一个名字则叫All Users。



  再来就是检查系统登录表,你可以在「开始功能表」里的「执行」里,输入「regedit」,来开启「登录编辑程式」,









而需要你去检查的位置如以下介绍,请你一层一层的追下去:

  1. Run: 这里是最重要的二个地方

      首先是位于HKEY_LOCAL_MACHINE里的Run,这里的启动程式是最多的,原因是这个地方是所有本机使用者共用的。路径如下:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\Run



     

      再来是位于HKEY_CURRENT_USER里的Run,这里的项目很少,而且里面的启动程式资料会因为使用者个别的设定而有所不同,也就是说,如果这个地方有被安插木马程式的话,你还必需要再登入到另一个使用者那边去检查一下这个位置有没有安全。路径如下:
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
      \CurrentVersion\Run



     

      我整理了常见的「有问题」及「正常安全」的登录值,在本文的最后面,这两个清单会持续的维护。

  2. Userinit: 这也是相当的重要的一个地方,几乎每个中毒的电脑这个地方都有问题。它的路径如下:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


      通常该登录键下面有一个正常的值如下:
      【C:\WINDOWS\system32\userinit.exe,】

     

      但这个键允许指定用逗号分隔的多个程式,
      例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】

      所以你只要把逗号后面的所有文字全部删除掉,只留下C:\WINDOWS\system32\userinit.exe,就好了。

     

  3. Load: 这个会有问题的情况会比较少一些,不过rundl132.exe这个木马病毒通常都喜欢躲在这。

      HKEY_CURRENT_USER\SOFTWARE\Microsoft       Windows NT\CurrentVersion\Windows\load



      你只要检查名称load的那一行,确定资料栏位是空白的。

     

  4. RunOnce :RunOnce、RunOnceEx、RunServices会出现状况的机率就更少了(有些电脑甚至没有这些键值如RunServices),一般正常的情况,这里面只会有一个「(预设值) REG_SZ (数值未设定)」在里面,除此之外,这里面「不应该」被放置「任何的程式」,如果有其它的程式在上面,全部杀掉。如下图是一个正常的情况:



      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunOnce

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunOnceEx

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunOnce

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunOnceSetup

     

  5. RunServices

      HKEY_CURRENT_USER\SOFTWARE\Windows
      \CurrentVersion\RunServices

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunServicesOnce

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunServices

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\RunServicesOnce

  



  对初学者来说,看这些登录表的困难度,就是在什么可以杀?什么不可以杀?要是你胡乱杀了一堆东西,虽然当下没有感觉到有什么不一样,可是一旦你重新开机,你就知道后果了。

  所以要学会怎么看这个东西可以杀或是不能杀,是要靠经验的。所以建议大家,拿起你的笔记本,看你要记在电脑里还是记在纸上,将上述的这些需要注意的登录表完整的抄下来,将来中毒时,就可以用来判断有什么东西多了出来,一般来说,多出来的那个东西就有可能是木马程式或是电脑病毒,当然也有可能是你后来才安装上来的程式软体。

  要记些什么东西?以我目前自己电脑为例,第1个Run里的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 我会记下
第一笔 名称 ctfmon.exe 数值资料 C:\WINDOWS\system32\ctfmon.exe
第一笔 名称Yahoo! Pager数值资料 "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
以此类推。

电瘾院还有更多不可思议的教学文章:
1. 每个人都要学的Word实用技巧教学-「合并列印」
2.电脑中毒了要怎么办?处理流程教学总整理
3.好康消息:原来写部落格、网站也能赚钱!!


[ 此文章被shareget01在2007-07-29 10:10重新编辑 ]

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供 参考资料 数位男女因你而丰富



献花 x2 回到顶端 [楼 主] From:台湾台北市 | Posted:2007-04-06 15:32 |
LostDream
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

现在原创教学超少见了 表情

不过..,拿Ad-aware SE Personal来扫木马,效果可能非常有限。


献花 x0 回到顶端 [1 楼] From:台湾中华HiNet | Posted:2007-04-07 00:56 |
shareget01
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x10 鲜花 x9
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

配合用还OK,这里最精华的是列出最重要每次开机时会被执行的程式的地方,
检查这些地方就会清掉不少的木马了。


献花 x0 回到顶端 [2 楼] From:台湾中华HiNet | Posted:2007-04-07 10:15 |
shareget01
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x10 鲜花 x9
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

最近在部落格把这篇文章又补充了一些东西,有兴趣的朋友可以过去看。


献花 x0 回到顶端 [3 楼] From:台湾 | Posted:2007-04-29 00:17 |
shareget01
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x10 鲜花 x9
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片



献花 x0 回到顶端 [4 楼] From:台湾 | Posted:2007-04-29 00:18 |
shareget01
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x10 鲜花 x9
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

谢谢数位男女的朋友造访我的解毒教学部落格,近日(2007年5月28起~至2007年6月30日)痞客帮举办一个「痞客爽 」的活动。

当你关闭或离开网志文章,系统会带您进入评分机制,你可以对此部落格做评分,而且可以填入个人资料来参加抽奖的活动。

我的部落格小站「电瘾院」也入选「痞客爽推荐优格」之一,竞争对手都相当的优秀,更有部落格大站名列其中,要胜出的机会难上加难,不过相信热情MyAV的朋友,一定会做出最佳选择的。


献花 x0 回到顶端 [5 楼] From:台湾中华HiNet | Posted:2007-05-28 09:05 |
colaeric
数位造型
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x8
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我都用Hijackthis一手包办 表情


献花 x0 回到顶端 [6 楼] From:美国 | Posted:2007-07-22 02:29 |
syyy
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x2
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

等我试试,多谢楼主。提供。


献花 x0 回到顶端 [7 楼] From:APNIC | Posted:2007-07-24 03:54 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.100216 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言