電腦病毒與解毒教學

電腦中毒怎麼辦?手動解毒移除教學

在Ad-aware中,有些木馬病毒解不掉

Ad-aware SE Personal是Lavasoft提供給個人免費使用的一套軟體,能「”被動」的解掉木馬病毒,為什麼說是「”被動」呢?就是等你中標了,再來治療的動作。別人免費讓我們使用,就別抱怨了。

但是Ad-aware有時雖然可以抓的到木馬病毒,可是會因為病毒已經載入記憶體中了,所以沒有辦法將木馬病毒給終止結束掉,它會請你將電腦重新開機後,再次進入Windows後,就自動進行一次掃描,基本上如果Ad-aware比病毒還要早載入的話,木馬病毒多半是可以解掉的;但…要是病毒又先載入了呢?那就要自己D.I.Y.了。

如何D.I.Y.清除木馬病毒

清木馬病毒,我們從兩個方面來談,「已知」和「未知」,由防毒軟體或是Ad-aware查出來而清不掉的我們稱這種為「已知」;而「未知」就是防毒軟體和Ad-aware沒發覺到的。

我們先從「未知」的先來談,防毒及Ad-aware都是要靠更新病毒定義檔,才有辦法找出最新的病毒。病毒定義檔就好似我們小時常接種的「疫苗」,如果你沒接種過疫苗,就會有生病的危險。所以如果沒有經常的更新病毒定義檔,或是碰到的木馬病毒太新、太稀少還沒被製作成病毒定義檔的,那你就會不知不覺的中毒。

手動解毒的部份對於許多的沒有經驗的人可能有點複雜,請你一定要耐住性子慢慢的看到最後,這些東西很少人會講的那麼清楚明白,我都把我的解毒的技術完全寫出來了,你還不看?相信我學到就是你的,你也就不用一再的花錢請電腦公司解毒了。

 

尋找未知的木馬程式及電腦病毒

一般我找這種未知的,第一步都是先從Windows開機時會載入的程式來找,也就是找「啟動」及各個「登錄表」的值。

「啟動」資料夾總共有二種:你可以從我的電腦中的本機磁碟C,一層一層的點進去。

  1. 第一種「啟動」資料夾是每個XP、2k使用者都會有一個,它的位置位於
    「C:\Documents and Settings\使用者名字\「開始」功能表\程式集\啟動 」
  2. 第二種「啟動」資料夾是全部使用者共用的,它位於
    「C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動」

第一種啟動資料夾和第二種比較,你可以很明顯看出差異性就是一個是你自己使用者的名字,另一個名字則叫All Users

 

再來就是檢查系統登錄表,你可以在「開始功能表」裡的「執行」裡,輸入「regedit」,來開啟「登錄編輯程式」,

在執行輸入regedit

登錄編輯程式

而需要你去檢查的位置如以下介紹,請你一層一層的追下去:

    1. Run: 這裡是最重要的二個地方

首先是位於HKEY_LOCAL_MACHINE裡的Run,這裡的啟動程式是最多的,原因是這個地方是所有本機使用者共用的。路徑如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run

登錄編輯程式

 

再來是位於HKEY_CURRENT_USER裡的Run,這裡的項目很少,而且裡面的啟動程式資料會因為使用者個別的設定而有所不同,也就是說,如果這個地方有被安插木馬程式的話,你還必需要再登入到另一個使用者那邊去檢查一下這個位置有沒有安全。路徑如下:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run

登錄編輯程式

 

我整理了常見的「有問題」及「正常安全」的登錄值,在本文的最後面,這兩個清單會持續的維護。

    1. Userinit: 這也是相當的重要的一個地方,幾乎每個中毒的電腦這個地方都有問題。它的路徑如下:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

登錄編輯程式
通常該登錄鍵下面有一個正常的值如下:
【C:\WINDOWS\system32\userinit.exe,】

 

但這個鍵允許指定用逗號分隔的多個程式,
例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】

所以你只要把逗號後面的所有文字全部刪除掉,只留下C:\WINDOWS\system32\userinit.exe,就好了。

 

    1. Load: 這個會有問題的情況會比較少一些,不過rundl132.exe這個木馬病毒通常都喜歡躲在這。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows\load

登錄編輯程式

你只要檢查名稱load的那一行,確定資料欄位是空白的

 

    1. RunOnce :RunOnce、RunOnceEx、RunServices會出現狀況的機率就更少了(有些電腦甚至沒有這些鍵值如RunServices),一般正常的情況,這裡面只會有一個「(預設值) REG_SZ (數值未設定)」在裡面,除此之外,這裡面「不應該」被放置「任何的程式」如果有其它的程式在上面,全部殺掉。如下圖是一個正常的情況:

登錄編輯程式

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceSetup

 

    1. RunServices

HKEY_CURRENT_USER\SOFTWARE\Windows
\CurrentVersion\RunServices

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce

 

對初學者來說,看這些登錄表的困難度,就是在什麼可以殺?什麼不可以殺?要是你胡亂殺了一堆東西,雖然當下沒有感覺到有什麼不一樣,可是一旦你重新開機,你就知道後果了。

所以要學會怎麼看這個東西可以殺或是不能殺,是要靠經驗的。所以建議大家,拿起你的筆記本,看你要記在電腦裡還是記在紙上,將上述的這些需要注意的登錄表完整的抄下來,將來中毒時,就可以用來判斷有什麼東西多了出來,一般來說,多出來的那個東西就有可能是木馬程式或是電腦病毒,當然也有可能是你後來才安裝上來的程式軟體。

要記些什麼東西?以我目前自己電腦為例,第1個Run裡的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
我會記下
第一筆 名稱 ctfmon.exe 數值資料 C:\WINDOWS\system32\ctfmon.exe
第一筆 名稱Yahoo! Pager數值資料 “C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe” -quiet
以此類推。

一些基本常識

以下內容是很基本的常識,但是對一些初學者還是要簡單的說一下,雖然作業系統一直的演進,但是這兩個常識一直還是存在的。

路徑的常識:

所謂的路徑就是 C:\WINDOWS\system32\ctfmon.exe,

它可以分解成 「C: 」、「WINDOWS」 、「system32」及「ctfmon.exe」,代表的意思即是有一個檔案叫「ctfmon.exe」,它被放在「C: 」磁碟的「WINDOWS 」資料夾的「system32」資料夾內。

由這個例子可以明白的看出每個資料夾都會隔著「\」斜線符號。

 

檔案的常識:

接著同樣以上面的例子為例子,「ctfmon.exe」

每一個檔案都有一個主檔名和一個副檔名組成,中間以一個「.」(點符號)隔開,主檔名代表這個檔案叫什麼名字,主要是給使用者做記憶用,而副檔名就比較重要了,它代表了這個檔案是什麼樣的一個檔案,如圖片檔、音樂檔…等等。

早期DOS時代主檔名只有8位,副檔名為3位;而現在Windows時代,主檔名可以隨便取(當然不是要多長就多長,還是有限制的),副檔名雖然也可以取的很長,但是還是都以3個字為主。

一個解毒的示範 (2007.6.8補充)

下圖為HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run的數值,以底下這個例子可以看到一個不尋常的地方,你看出來了嗎?

  唯一的問題出在第一個「(預設值)」,這個「名稱」的「資料」數值是空白,你可以看一下上面第一個Run的圖片。

 

所以這個的解決方法就是用滑鼠左鍵雙點兩下「(預設值)」,然後會出現下面這個「編輯字串」視窗,你只要將「數值資料」裡的那串數值
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」給清除掉,然後再按「確定」就好了。

  接下來是Userinit這個位置,這個位置也是最常有病毒的地方,如下圖我抓下來的Init的截圖,這個截圖我有修改過,這是為了要完整個看到整個Userinit字串。

這個Userinit字串如下,「C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,」

這個Userinit有兩個部份,分別是userinit.exe及svchost.exe,根據上面的Userinit的說明可以知道,除了userinit.exe以外的東西都是病毒,所以你要將userinit.exe以外的東西都清除掉,你可以使用滑鼠左鍵雙點兩下「Userinit」這個位置,然後將數值資料改成這樣
C:\WINDOWS\system32\userinit.exe,」,然後再按「確定」就解決了。

 

當然重新開機之後,最好可以再去把這幾個病毒檔案給刪除掉,
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」及
「C:\Program Files\Windows Media Player\svchost.exe」。

 

Ps 1:特別注意到xiao.exe這個檔案的位置,這個位置經常會有病毒在這裡,因為它是Windows的暫存區,所以建議經常要去清理這個位置,較完整的路徑就像這樣 C:\Documents and Settings\EndUser\Local Settings\Temp。

Ps2:svchost.exe這個檔案的正確路徑是在C:\Windows\system32裡,如果它出現在其它位置就代表它是假貨,就像是這個例子一樣。

有問題的登錄值總整理

只要你發現你的登錄值裡有符合以下任何一個值,直接刪除它就對了!

表格 1: 常見木馬病毒程式登錄值。
名稱 資料
cmdbcs C:\WINDOWS\SVCHOST.EXE
cmdbcs C:\WINDOWS\cmdbcs.exe
fzg C:\WINDOWS\Config\svhost32.exe
svchost C:\WINDOWS\system32\SVSH0ST.EXE
load C:\WINDOWS\uninstall\rundl132.exe
mhsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mhso.exe
mnsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mnso.exe
msccrt C:\WINDOWS\LSASS.EXE
MsIMMs32 C:\WINDOWS\12Sy.exe
qjsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\qjso.exe
rxsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\rxso.exe
tlsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\tlso.exe
wlsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\wlso.exe
wosa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\woso.exe
ztsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\ztso.exe
WSVBRS C:\WINDOWS\RUNDLL32.exe
upxdnd C:\WINDOWS\upxdnd.exe
svc C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\byetmr.exe
1MJPMIG_ C:\WINDOWS\IMEINPUTS.EXE
wssttrs C:\WINDOWS\wssttrs.exe
Microsoft Autorun9 C:\WINDOWS\system32\Ravasktao.exe
Microsoft Autorun14 C:\WINDOWS\system32\ztinetzt.exe
Microsoft Autorun5 C:\WINDOWS\system32\mosou.exe
Microsoft Autorun10 C:\WINDOWS\system32\nwizwmgjs.exe
Microsoft Autorun6 C:\WINDOWS\system32\mydata.exe
MailScanner C:\DOCUME~1\使用者帳號\LOCALS~1\adsl.exe
system C:\Program Files\Common Files\system\Updaterun.exe
kava C:\WINDOWS\system32\kavo.exe
Iexplore Data2 Center13 C:\WINDOWS\System32\firestore3.exe
sck12 C:\WINDOWS\system32\helpsys.exe
sixer5 C:\WINDOWS\system32\ssc.exe
sysms C:\WINDOWS\system32\sysem.exe
Systam13 icsws.exe
Windows Shield igkxibxhu.exe
mmsass mmdmm.exe
johkjh C:\WINDOWS\system32\srvd.exe
melg3445 C:\WINDOWS\system32\mdmdd.exe
持續更新中…

安全的登錄值總整理

以下整理的登錄值都是一般常見正常的登錄值,請不要動到它。

表格2: 常見一般正常程式的登錄值。
名稱 資料
IMJPMIG8.1 “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
MSPY2002 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
nwiz nwiz.exe /install
PHIMETIPSYNC C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
Smapp C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
Yahoo! Pager “C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe” -quiet
MSMSGS “C:\Program Files\Messenger\msmsgs.exe” /background
msnmsgr “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
swg C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
Skype “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
持續更新中…

你可能對這些內容也有興趣:

326 thoughts on “電腦中毒怎麼辦?手動解毒移除教學