電癮院

以經常會遇到的問題及「初學者」的角度,來看待「電腦教學」這回事。

電腦中毒怎麼辦?手動解毒移除教學

在Ad-aware中,有些木馬病毒解不掉

  Ad-aware SE Personal是Lavasoft提供給個人免費使用的一套軟體,能「"被動」的解掉木馬病毒,為什麼說是「"被動」呢?就是等你中標了,再來治療的動作。別人免費讓我們使用,就別抱怨了。

  但是Ad-aware有時雖然可以抓的到木馬病毒,可是會因為病毒已經載入記憶體中了,所以沒有辦法將木馬病毒給終止結束掉,它會請你將電腦重新開機後,再次進入Windows後,就自動進行一次掃描,基本上如果Ad-aware比病毒還要早載入的話,木馬病毒多半是可以解掉的;但…要是病毒又先載入了呢?那就要自己D.I.Y.了。 

如何D.I.Y.清除木馬病毒

  清木馬病毒,我們從兩個方面來談,「已知」和「未知」,由防毒軟體或是Ad-aware查出來而清不掉的我們稱這種為「已知」;而「未知」就是防毒軟體和Ad-aware沒發覺到的。

  我們先從「未知」的先來談,防毒及Ad-aware都是要靠更新病毒定義檔,才有辦法找出最新的病毒。病毒定義檔就好似我們小時常接種的「疫苗」,如果你沒接種過疫苗,就會有生病的危險。所以如果沒有經常的更新病毒定義檔,或是碰到的木馬病毒太新、太稀少還沒被製作成病毒定義檔的,那你就會不知不覺的中毒。

  手動解毒的部份對於許多的沒有經驗的人可能有點複雜,請你一定要耐住性子慢慢的看到最後,這些東西很少人會講的那麼清楚明白,我都把我的解毒的技術完全寫出來了,你還不看?相信我學到就是你的,你也就不用一再的花錢請電腦公司解毒了。

 

尋找未知的木馬程式及電腦病毒

  一般我找這種未知的,第一步都是先從Windows開機時會載入的程式來找,也就是找「啟動」及各個「登錄表」的值。

「啟動」資料夾總共有二種:你可以從我的電腦中的本機磁碟C,一層一層的點進去。

  1. 第一種「啟動」資料夾是每個XP、2k使用者都會有一個,它的位置位於
    「C:\Documents and Settings\使用者名字\「開始」功能表\程式集\啟動 」
  2. 第二種「啟動」資料夾是全部使用者共用的,它位於
    「C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動」

第一種啟動資料夾和第二種比較,你可以很明顯看出差異性就是一個是你自己使用者的名字,另一個名字則叫All Users

 

  再來就是檢查系統登錄表,你可以在「開始功能表」裡的「執行」裡,輸入「regedit」,來開啟「登錄編輯程式」,

在執行輸入regedit

 

登錄編輯程式

 

而需要你去檢查的位置如以下介紹,請你一層一層的追下去:

  1. Run: 這裡是最重要的二個地方
  2. 首先是位於HKEY_LOCAL_MACHINE裡的Run,這裡的啟動程式是最多的,原因是這個地方是所有本機使用者共用的。路徑如下:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run

    登錄編輯程式

     

    再來是位於HKEY_CURRENT_USER裡的Run,這裡的項目很少,而且裡面的啟動程式資料會因為使用者個別的設定而有所不同,也就是說,如果這個地方有被安插木馬程式的話,你還必需要再登入到另一個使用者那邊去檢查一下這個位置有沒有安全。路徑如下:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run

    登錄編輯程式

     

    我整理了常見的「有問題」及「正常安全」的登錄值,在本文的最後面,這兩個清單會持續的維護。

  3. Userinit: 這也是相當的重要的一個地方,幾乎每個中毒的電腦這個地方都有問題。它的路徑如下:
  4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

    登錄編輯程式
    通常該登錄鍵下面有一個正常的值如下:
    【C:\WINDOWS\system32\userinit.exe,】

     

    但這個鍵允許指定用逗號分隔的多個程式,
    例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】

    所以你只要把逗號後面的所有文字全部刪除掉,只留下C:\WINDOWS\system32\userinit.exe,就好了。

     

  5. Load: 這個會有問題的情況會比較少一些,不過rundl132.exe這個木馬病毒通常都喜歡躲在這。
  6. HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows NT\CurrentVersion\Windows\load

    登錄編輯程式

    你只要檢查名稱load的那一行,確定資料欄位是空白的

     

  7. RunOnce :RunOnce、RunOnceEx、RunServices會出現狀況的機率就更少了(有些電腦甚至沒有這些鍵值如RunServices),一般正常的情況,這裡面只會有一個「(預設值) REG_SZ (數值未設定)」在裡面,除此之外,這裡面「不應該」被放置「任何的程式」如果有其它的程式在上面,全部殺掉。如下圖是一個正常的情況:
  8. 登錄編輯程式

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnce

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnceEx

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnce

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnceSetup

     

  9. RunServices
  10. HKEY_CURRENT_USER\SOFTWARE\Windows
    \CurrentVersion\RunServices

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServicesOnce

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServices

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServicesOnce

  

 

  對初學者來說,看這些登錄表的困難度,就是在什麼可以殺?什麼不可以殺?要是你胡亂殺了一堆東西,雖然當下沒有感覺到有什麼不一樣,可是一旦你重新開機,你就知道後果了。

  所以要學會怎麼看這個東西可以殺或是不能殺,是要靠經驗的。所以建議大家,拿起你的筆記本,看你要記在電腦裡還是記在紙上,將上述的這些需要注意的登錄表完整的抄下來,將來中毒時,就可以用來判斷有什麼東西多了出來,一般來說,多出來的那個東西就有可能是木馬程式或是電腦病毒,當然也有可能是你後來才安裝上來的程式軟體。

  要記些什麼東西?以我目前自己電腦為例,第1個Run裡的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
我會記下
第一筆 名稱 ctfmon.exe 數值資料 C:\WINDOWS\system32\ctfmon.exe
第一筆 名稱Yahoo! Pager數值資料 "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
以此類推。

一些基本常識

以下內容是很基本的常識,但是對一些初學者還是要簡單的說一下,雖然作業系統一直的演進,但是這兩個常識一直還是存在的。

路徑的常識:

  所謂的路徑就是 C:\WINDOWS\system32\ctfmon.exe,

  它可以分解成 「C: 」、「WINDOWS」 、「system32」及「ctfmon.exe」,代表的意思即是有一個檔案叫「ctfmon.exe」,它被放在「C: 」磁碟的「WINDOWS 」資料夾的「system32」資料夾內。

  由這個例子可以明白的看出每個資料夾都會隔著「\」斜線符號。

 

檔案的常識:

  接著同樣以上面的例子為例子,「ctfmon.exe」

  每一個檔案都有一個主檔名和一個副檔名組成,中間以一個「.」(點符號)隔開,主檔名代表這個檔案叫什麼名字,主要是給使用者做記憶用,而副檔名就比較重要了,它代表了這個檔案是什麼樣的一個檔案,如圖片檔、音樂檔…等等。

  早期DOS時代主檔名只有8位,副檔名為3位;而現在Windows時代,主檔名可以隨便取(當然不是要多長就多長,還是有限制的),副檔名雖然也可以取的很長,但是還是都以3個字為主。

一個解毒的示範 (2007.6.8補充)

  下圖為HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run的數值,以底下這個例子可以看到一個不尋常的地方,你看出來了嗎?

  唯一的問題出在第一個「(預設值)」,這個「名稱」的「資料」數值是空白,你可以看一下上面第一個Run的圖片。

 

  所以這個的解決方法就是用滑鼠左鍵雙點兩下「(預設值)」,然後會出現下面這個「編輯字串」視窗,你只要將「數值資料」裡的那串數值
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」給清除掉,然後再按「確定」就好了。

 

  接下來是Userinit這個位置,這個位置也是最常有病毒的地方,如下圖我抓下來的Init的截圖,這個截圖我有修改過,這是為了要完整個看到整個Userinit字串。

這個Userinit字串如下,「C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,」

這個Userinit有兩個部份,分別是userinit.exe及svchost.exe,根據上面的Userinit的說明可以知道,除了userinit.exe以外的東西都是病毒,所以你要將userinit.exe以外的東西都清除掉,你可以使用滑鼠左鍵雙點兩下「Userinit」這個位置,然後將數值資料改成這樣
C:\WINDOWS\system32\userinit.exe,」,然後再按「確定」就解決了。

 

當然重新開機之後,最好可以再去把這幾個病毒檔案給刪除掉,
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」及
「C:\Program Files\Windows Media Player\svchost.exe」。

 

Ps 1:特別注意到xiao.exe這個檔案的位置,這個位置經常會有病毒在這裡,因為它是Windows的暫存區,所以建議經常要去清理這個位置,較完整的路徑就像這樣 C:\Documents and Settings\EndUser\Local Settings\Temp。

Ps2:svchost.exe這個檔案的正確路徑是在C:\Windows\system32裡,如果它出現在其它位置就代表它是假貨,就像是這個例子一樣。

有問題的登錄值總整理

  只要你發現你的登錄值裡有符合以下任何一個值,直接刪除它就對了!

表格 1: 常見木馬病毒程式登錄值。
名稱 資料
cmdbcs C:\WINDOWS\SVCHOST.EXE
cmdbcs C:\WINDOWS\cmdbcs.exe
fzg C:\WINDOWS\Config\svhost32.exe
svchost C:\WINDOWS\system32\SVSH0ST.EXE
load C:\WINDOWS\uninstall\rundl132.exe
mhsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mhso.exe
mnsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mnso.exe
msccrt C:\WINDOWS\LSASS.EXE
MsIMMs32 C:\WINDOWS\12Sy.exe
qjsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\qjso.exe
rxsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\rxso.exe
tlsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\tlso.exe
wlsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\wlso.exe
wosa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\woso.exe
ztsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\ztso.exe
WSVBRS C:\WINDOWS\RUNDLL32.exe
upxdnd C:\WINDOWS\upxdnd.exe
svc C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\byetmr.exe
1MJPMIG_ C:\WINDOWS\IMEINPUTS.EXE
wssttrs C:\WINDOWS\wssttrs.exe
Microsoft Autorun9 C:\WINDOWS\system32\Ravasktao.exe
Microsoft Autorun14 C:\WINDOWS\system32\ztinetzt.exe
Microsoft Autorun5 C:\WINDOWS\system32\mosou.exe
Microsoft Autorun10 C:\WINDOWS\system32\nwizwmgjs.exe
Microsoft Autorun6 C:\WINDOWS\system32\mydata.exe
MailScanner C:\DOCUME~1\使用者帳號\LOCALS~1\adsl.exe
system C:\Program Files\Common Files\system\Updaterun.exe
kava C:\WINDOWS\system32\kavo.exe
Iexplore Data2 Center13 C:\WINDOWS\System32\firestore3.exe
sck12 C:\WINDOWS\system32\helpsys.exe
sixer5 C:\WINDOWS\system32\ssc.exe
sysms C:\WINDOWS\system32\sysem.exe
Systam13 icsws.exe
Windows Shield igkxibxhu.exe
mmsass mmdmm.exe
johkjh C:\WINDOWS\system32\srvd.exe
melg3445 C:\WINDOWS\system32\mdmdd.exe
  持續更新中…

安全的登錄值總整理

  以下整理的登錄值都是一般常見正常的登錄值,請不要動到它。

表格2: 常見一般正常程式的登錄值。
名稱 資料
IMJPMIG8.1 “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
MSPY2002 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
nwiz nwiz.exe /install
PHIMETIPSYNC C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
Smapp C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
Yahoo! Pager “C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe” -quiet
MSMSGS “C:\Program Files\Messenger\msmsgs.exe” /background
msnmsgr “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
swg C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
Skype "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
  持續更新中…

Previous

忍者龜之炫風再起 TMNT

Next

無法存取xxx資料夾,存取被拒

325 Comments

  1. homeni

    我自己對於感染過後的隨身碟都是直接進行格式化,當然前提是,資料平日都有在做備份。

    對我而言,直接格式化就像是電腦重灌一般,快速很多。只不過我不清楚這樣到底有沒有清乾淨徹底。

  2. changyang319

    可以,對隨身碟來說這樣當然是有效的,不過你要注意,電腦上其他的磁碟是不是也中毒了,要不然日後隨身碟再度插回電腦上,並執行到電腦上的木馬檔案時,又會再度中毒的。

  3. 路人

    很感謝你耶
    你真是大家的救星阿T^T

  4. fs

    不好意思,請問一下,我的userinit這一個的資料是"userinit.exe,C:\WINDOWS\system\svchost.exe"這樣耶
    跟你的不太一樣,想問是不是有中毒= = ?
    不好意思,麻煩你了
    謝謝唷:D

  5. changyang319

    沒有錯,你的有中毒,你把這個Userinit的內容改成「C:\WINDOWS\system32\userinit.exe,」後,再重新開機確認一下有沒有再被改回來。

  6. 感激你的人

    我在HKEY_LOCAL_MACHINE裡的run發現了一個我懷疑是病毒的登錄值~不太肯定~
    名稱:ISUSPM Startup
    資料:C:\PROGA~1\COMMON~1\INSTAL~\update~1\isuspm.exe-startup
    可幫我看一看嗎?謝謝你~

  7. changyang319

    我剛在網路上找了一下,不管是中文、英文的都說isuspm.exe是Macrovision公司InstallShield安裝程式相關軟體,所以這個不是木馬程式,但是你還是可以移除它,因為它只是一個檢查有沒有更新的軟體。

  8. 感激你的人

    謝謝你的解答~
    你真是我的救星~~~~^^

  9. 水母

    我最近關機的時候發現常常會卡在儲存您的設定值這邊
    但是用卡巴7.0並沒有掃出什麼病毒
    而我觀察了一下使用者設定檔
    發現他的容量竟然有190 mb
    雖然我並不清楚使用者設定當一般應當有多大
    但我直覺問題應該出在他身上
    請問有辦法可以解決嗎 謝謝

  10. changyang319

    不客氣。

  11. 小路

    我想請問是所有的名稱(預設值)的資料都是顯示未知數或空白嗎??

  12. 佩ㄚㄚ

    我的防毒軟体一直顯示;檔案C:\autorun.inf病毒:Win32/PSW.Agent.NDP木馬批注 我該怎辦呢    電腦白癡上

  13. changyang319

    請你先參考http://blog.pixnet.net/changyang319/post/9211590這篇教學,看看是否可以用。

  14. 力紗

    我用Norton Security Scan掃到了一個間諜病毒,資料如下
    Spyware.Perfect
    病毒 ID: 4294906217
    類別: 間諜軟體
    ———–
    處理:
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\winnt\stcbcl\stcbcl.exe
    感染:
    c:\winnt\stcbcl\stcbcl.exe
    瀏覽器快取
    登錄:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run->stcbcl

    在你整理的有問題登錄值沒有看到上面那一個,可以直接把他殺掉嗎?
    一直麻煩你,真不好意思.. 謝謝~

  15. changyang319

    這個可以殺,我沒有碰過這個木馬程式,所以沒有列在我的清單中。

  16. 力紗

    It's me again…><
    要怎麼殺呢?? 完全找不到那個檔案…
    用過了顯示所以隱藏檔案,命令提示字元,安全模式,都找不到!!
    麻煩你了,謝謝!!

  17. changyang319

    會不會Norton Security Scan掃到時,就已經清除了?之後還有再掃到這個病毒嗎?

  18. 力紗

    沒有! 掃到它時,Norton Security Scan表示免費的軟體無法解決此類型的病毒!
    剛又掃了一次,它還在!
    所以是要去買Norton來解決?

  19. changyang319

    最簡單的辦法去買Norton也許可以解決,
    因為你的情況是Norton Security Scan有抓到,可是你又找不到那些檔案,關於這點我也無能為力。但我覺得你可以去下載賽門鐵克的Internet Security 2008試用版先來應應急,也看看是否可以將電腦上的毒都清掉。

  20. 力紗

    謝謝~^^
    我會先去找試用版來應急看看,希望能解決呢!!

  21. 小米優

    哈囉,我的電腦中了一個WIN32:SDB的毒,每次掃完毒,一開機又會出現,要用啥辦法解毒呢??好困擾哦~~

  22. 可憐ㄉ小孩

    我家ㄉ電腦自從上一次強迫關機後就一直出現問題 例如:線上遊戲玩到一半跳出來、奇摩即時通進不去(一按便馬上跳回輸入帳號密碼ㄉ地方)、程式進行速度變慢….等ㄉ情形 請教我要如何處理

  23. changyang319

    我在網路上找不到相關WIN32.SDB的資料,也許你可以換個防毒軟體試試看。

  24. changyang319

    你電腦發生的問題真多,最根本的解決辦法當然只有重灌而已。
    不過最好也可以檢查一下硬碟有沒有壞軌之類的問題。

  25. 小米優

    哈囉,我中的毒就一直出現WIN32:SDBOT用了好多個軟體都掃不掉,好煩哦~

  26. changyang319

    在大砲開講部落格裡有介紹過這個木馬程式
    http://rogerspeaking.blogspot.com/2007/07/blog-post_26.html
    移除的方法不難,請你參考本篇
    手動移除教學(http://blog.pixnet.net/changyang319/post/3661585)再配合大砲開講那篇所介紹的內容來移除這個木馬程式。

  27. ET

    1我造著你敘述的方法做 發現RUN裡有Kava 跟你的目錄一樣 我把她刪掉了 可是從新開機之後 發現 他又回來了 怎麼辦
    2資料裡是不是只要寫著C:\DOUCUME~1\user\LOCALS~\Temp\….\exe的 不管在哪裡(包含Run以外的地方)她就是病毒嗎?
    3我發現 我的msnmsgr的寫法跟你的不同(我的是MsnMsgr)而且 他資料的寫法也不同(我的是"C:\Program Files\windowa Live\Messenger\Msn Msgr.Exe"/background)它有問題嗎?

  28. FencingFreak

    最近電腦總是彈出一些視窗說我的電腦中招(Trojan-Spy.Win32@mx)不停地叫我下載防毒程式…可是我也不敢下載
    但是我剛才用Ad-ware SE personal掃描了
    又清除了找出來的病毒,但是還是不行
    然後我又用手動解除
    也不行——–怎麼辦??

  29. tsai

    請教一下
    在VISTA要怎麼看登錄值
    謝謝您

  30. changyang319

    1. 請你參考「隨身碟解法http://blog.pixnet.net/changyang319/post/9211590」這篇,執行過怪貓寫的批次檔之後,就算開機時,那個kava又跑回來了,它在開機時,只不過是開啟了一個文字檔而已,並沒有真正執行到kavo.exe,雖然有點小瑕疵,但是我想這樣就沒有問題了。
    2.如果執行的路徑是C:\DOUCUME~1\user\LOCALS~\Temp\….\*.exe,幾乎一定是病毒
    3.那個沒有關係,Msn目前在新舊之間有好幾種版本,它的執行程式也都不一樣,你只要確定你平常執行的Msn程式和那個是同一個就可以了。

  31. changyang319

    如果你已按照我的解法下去全試過的話,你可能就要重灌了,我沒有在你身邊,我並不曉得你電腦還有哪些問題,沒有辦法教你怎麼做。
    我寫的這些解毒的方式很多,除非中的這個病毒真的很麻煩,要不然都是可以解的,只不過你解毒的經驗不多,還沒有辦法體會我文章上所說的東西,而遺漏掉某些細節動作。

  32. changyang319

    一樣在【開始】上按一下滑鼠左鍵,然後在〔開始搜尋〕上輸入「regedit」即可。

  33. tsai

    不好意思又是我
    按了開始之後在右側有一個搜尋(沒有開始搜尋這個選項…)打regedit沒用
    不知道有沒有搞錯方向了
    我的是VISTA BUSINESS版本
    謝謝您

  34. changyang319

    我倒是沒有看過Vista Business的版本,但是你可以利用鍵盤的「視窗鍵+R」快速鍵來開啟開始功能表的「執行」。

  35. 琪琪

    2008/1/15 下午 03:37:32 檔案 C:\DOCUME~1\User\LOCALS~1\Temp\taso0.dll: 偵測到 木馬程式 'Trojan-PSW.Win32.OnLineGames.ods'. 使用者: ADMIN-11\User,電腦: localhost.
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    這病毒一直出現= ="
    我試過你ㄉ方法找..
    找是有找到…但是!!
    坎不掉!
    它一直說我這程式使用中無法刪除>"<
    可以幫我一下嗎?如何才能坎掉這個病毒!!
    謝謝你^^

  36. changyang319

    你有進入「安全模式」下去殺那個檔案嗎?(進入安全模式的方法在首頁的解毒流程那)

  37. 花*

    我家掃描軟體說有tracking cookie這個病毒,我看知識+,有人說這不是病毒,對於這個,我並不了解,請麻煩你告訴我,我該怎麼刪掉那個毒?我去找過cookies資料夾,並把一些訊息用掉,後來在掃一次,那個病毒未消掉,真令人頭痛,麻煩一下囉!謝

  38. changyang319

    有些Cookie確實會殺掉又再跑出來,我自己也不太曉得這個中的原因,但我覺得這並不重要。
    「Cookie」只不過是網站用來記錄我們的帳號及有效登入期間之類的資訊,它並不會強迫我們去上某些有問題的網站,我自己每次掃到有問題的Cookie時,有時連殺都不想殺。
    (我觀念有錯的話,還請高手賜教)

  39. 花*

    我不知道現在是哪裡有問題,只要一連線,不久,他就會說,<自動離線>問我是否要繼續連線。以往,都沒有發生過這樣的事,我不知道為什麼這幾天會這樣。而且網路變的很慢,以前比較沒這樣的問題。我想應該是中毒,但是不知道要怎麼刪。我之前說的cookies資料夾,可以刪掉嗎?我有兩個cookies的資料夾,裡面都有向DVD的檔,刪也刪不掉,每個人都有那個嗎?

  40. changyang319

    會自動離線的問題很多,我以前有遇過是集線器的問題,當然也有可能是Windows系統的問題。cookies可以刪掉。裡面有DVD檔是什麼意思?DVD檔是VIDEO_TS這些東西嗎?

  41. miller

    C:\Documents and Settings\EndUser\Local Settings\Temp。
    問題一:我的電腦在Documents and Settings沒有EndUser這個資料夾…只有user的TEMP裡有暫存資料!!
    問題二:是不是所有在TEMP這個資料夾~~裡面的暫存姿造全部清掉會比較好???還是有些是不能刪的???
    EX: EZ_temp;WPDNSE;~nsu.tmp這3ㄍ資料夾可以刪ㄇ???

  42. changyang319

    問題一:EndUser是我自己所假設的使用者帳戶名稱,所以請以你自己的為主。(你的是user沒錯)
    問題二:所有在Temp的資料夾全都清掉沒有關係,裡面所有的東西都是暫時存放的,被殺掉了,應用程式會自己再產生出來。

  43. MILLER

    因為防毒軟體過期~~但是又好像中毒
    在你的危險病毒碼當中並沒有發現中毒現象
    現在如果還不想重灌~也還不打算賣防毒軟體
    我可以如何自救跟檢查?

  44. ming70

    一直出現以下這些東西

    REGKEY:HKCR\interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836}
    REGKEY:HKCR\typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb}
    REGKEY:HKCR\e404.e404mgr
    REGKEY:HKCR\e404.e404mgr.1

    REGKEY:HKCR\e404.e404mgr
    REGKEY:HKCR\interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836}
    REGKEY:HKCR\typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb}
    REGKEY:HKCR\e404.e404mgr.1

    我是用F-secure ANTI-VIRUS掃描的
    找到了卻又刪不掉
    而且一直出現
    這2天我的F-secure ANTI-VIRUS也變的怪怪的
    都不能自動更新
    您能不能幫幫我解決我的問題嗎
    感激不盡

  45. 紋紋

    請問C:\Windows\System3\wincon.exe
    可以刪嗎?我掃毒掃到的,這個刪了對電腦會有影響嗎?
    而且我真實去找時都找不到這個wincon耶
    你之到它的登錄編輯程式嗎?可以從登錄編輯程式改嗎??
    我是現上掃毒掃到的,只能偵測到中什麼毒,可是卻沒辦法幫我清除

  46. changyang319

    你有開啟觀看「隱藏」及「系統」檔案屬性的選項去看嗎?還是有使用「命令提示字元」到該資料夾下,使用「dir wincon.exe /a」下去看?(若你不會切到該資料夾內,直接輸入 dir c:\windows\system32\wincon.exe /a」看看有沒有找到這個檔案就可以知道了。
    這個wincon.exe根據網路上的資料,是不好的東西,要清除。

  47. - -

    最近我的電腦工作管理員打開有一個
    svchost.exe 然後
    使用者名稱是SYSTEM
    有時候這個處理程序都會讓我的CPU飆到
    100
    這樣是正常嗎?

  48. Grace

    我找不到 winlogon 那個資料夾~

  49. changyang319

    這不一定,因為你說「有時候」,這種情況也有可能是CPU的等級比較沒那麼強,導致部份程式動不動有100%,但只要它隨即又處理完畢的話,就大概沒有什麼問題。
    至於算不算正常,我也無法肯定的告訴你,Sorry.

  50. changyang319

    一定有的,這個是在WindowsNT底下喔!問一下,你的作業系統是XP或是2000的嗎?還是說還在98呢?

  51. kyo

    Your blog is very wonderful! it helps me a lot. thank you.

  52. 阿倫

    請問一下 要去哪邊找Userinit 不好意思麻煩你了

  53. 阿倫

    不好意思 我找到

  54. orange30

    您好
    我最近電腦有時上網上到一半
    就會變得不能上網~可是還是有在連線
    不過像開real player也不能開
    然後重開機前
    他就會終止一個avp.exe的程式
    我不知這樣是不是有中木馬耶
    我用我的正版卡巴斯基7.0版也掃不到毒
    查了很多資料也霧煞煞
    對了 我的c:windows內也看不到avp.exe

    謝謝回答唷

  55. 無神

    最近我使用電腦時 就會類似畫面定格 整ㄍ桌面ㄆ會動 連工作管理員都較不出來 掃毒ㄝ沒少到啥 怎會這樣 事ㄆ是中毒 之前掃毒時有少到2ㄍ但已經點選移除 ㄝㄑc槽裡面看過沒有一樣ㄉ檔案 還是沒有刪除? 我用ㄉ防毒軟體是NOD32 大大幫ㄍ忙ㄅ@@ 感謝

  56. 今天玩即時打字到一半,
    變成只能打兩個字以下案一次ENTER不然就會盪掉
    就是打字下面都會有虛線
    只要連續打超過兩個字沒按ENTER就會盪!
    可以幫我看一下嗎?
    謝謝!

  57. 呆龍

    我用的是NOD32,我的電腦常常中同一種病毒<INF/Autorun.gen.trojan>檔案有時是D://autorun.inf,有時是C://autorun.inf該怎麼
    做呢

  58. 千千

    想請問我在網路上查到說"explorer.exe除了在system32裡的是正常的,其他都是病毒",(又有看到一些其他說法…有點混亂)
    後來搜尋之後出現五個explorer.exe檔,有兩個特別奇怪:
    C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf跟C:\Documents and Settings\Joyce101\Local Settings\Application Data\ApplicationHistory\Explorer.EXE.3c2f65a1.ini.inuse

    想請問是不是就是病毒了? 真是抱歉,因為是電腦白痴,實在不敢亂刪,只好請教看看>"< 謝謝您!

  59. changyang319

    1.只有在Windows裡下的explorer.exe是正常的,要是system32裡有這個檔案,那個是假的。
    2.另外explorer.exe也會裡複製一份放system32\dllcache中,這個也不用理會它。
    3.除此之外,有時explorer.exe也會存在「Windows更新」的資料夾之中,如Windows\$hf_mig$\KB938828\SP2QFE。
    4.其實除了第一個位置的explorer.exe不能殺之外,其它的殺掉也沒有差。

  60. 千千

    太謝謝了,好詳細^^

  61. 壞腦人

    桌面變成防毒廣告.在桌面剔入內容沒有了桌面選擇請問怎麼辦.謝謝

  62. 狗狗

    請問刪到
    HKEY_LOCAL_USER SOFTWARE Microsoft Windows CurrentVersion Run
    (空白鍵代表斜線我不知怎ㄇ打)中除ㄌREG_SZ以外的其他檔案會怎樣?

  63. 電腦笨笨

    請問:
    桌面忽然字體變大
    在'內容"不能改
    我要怎麼修改

    是不是中毒了?!

  64. 最近我的電腦也常當機
    不知是不是中毒了
    有時當機後就出現一個藍色的畫面
    重開機會出現程式在倒數
    或是一直發生聲音
    我用卡巴掃毒也沒用
    之前有被盜過及時帳號
    應該有 我發現了
    然後隔天就一直被攻擊
    卡巴一直出現訊息
    是因為這樣中毒了嗎?
    電腦很怪 一直盪掉
    一直要重開機><

  65. changyang319

    當然您的電腦需要有人來幫你做檢查,我猜測,也許要先測一下硬碟有沒有問題。

  66. mimi

    您好,請問是不是中毒之後電腦就會變的比較脆弱?很多莫名奇妙的不明程式都接踵而來,真的很困擾.
    數不是所有地方都要像這樣檢查路徑? (這樣我大概會死xD)
    我試過你的方法了,感覺真的不錯.很感謝是真的^^

  67. 張牙舞爪

    我在電腦裡
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows NT\CurrentVersion\Windows\load
    load怎ㄇ找不到 中毒ㄌㄇ><

  68. changyang319

    我確定過路徑是對的,你要注意的是這個"load"是windows裡的一個字串值,並不是目錄。

  69. PETE

    C:\WINDOWS\TEMP裡有一個Perflib-Perfdata-7f4一直刪不掉。刪的過程總是顯示"有人在使用那個檔案";到安全模式下"它"又不見了,回正常模式則又出現。7f4會隨機變化。

    請問,是中毒嗎?怎麼刪除?

    我使用pc-cillin掃也掃不掉。

    謝謝您,這個部落格對使用電腦的普羅大眾幫助很大。

  70. flightmomo

    我是找不到ISUS.msi
    而電腦一直出問題的~"~

    請問我該怎麼把他找回,或是移除。

  71. changyang319

    我不懂你所說的找不到ISUS.msi

  72. a wish

    你好,
    我的電腦中了病毒(avg anti-virus的掃毒報告),該病毒在c\windows\system32\ping.exe 我的電腦好像沒有甚麼明問題,我現在應該如何處理呢?
    ~謝謝~

  73. 綠碌

    請問一下
    我家的電腦無法開啟登錄編輯程式
    我在執行已經輸regedit但電腦卻完全沒有反應
    在安全模式下 情況也相同
    另外 我想知道怎可以把病毒定義檔放入中毒的電腦 用usb會令usb也中毒嗎?

    拜託解答 我是電腦白痴T.T

  74. changyang319

    我曾經遇過輸入regedit卻無法執行的情況,但面對那個情況,我卻無計可施,不過再怎麼弄,也都還是叫不出regedit,我最後也只能重灌了。
    如果你想要將病毒定義檔放入電腦中,用usb是個方法,也可以將資料燒在光碟片上,方法很多,不過我建議你還是重灌會比較能解決問題,因為你的作業系統早已受損,就算病毒解掉了,系統還是會怪怪的。

  75. muta

    hbkernel.sys這個是什麼檔案為什麼掃毒程式每次都掃到但殺不掉

  76. changyang319

    這個你只能自行參考手動解毒的教學,自己試看看了。

  77. 小布

    開機時後然後一直停在黑黑的畫面 又有白字白字出現是這樣 Reboot and
    Select proper Boot
    device or Insert Boot Media in selected Boot device and press a key

  78. 蠢妞

    我在HKEY_LOCAL_MACHINE/Microsoft/Tahoe
    它的預設值後面不是空白 它寫C:\Program Files\Common Files\Microsoft Shared\Web Folders

    請問這是正常嗎??

  79. JOJO

    C:\WINDOWS\system32\dfshim.dll,1

  80. laulau

    經常關閉一個網頁畫面時佢就出現漏斗,仲好耐都無回應,其實han咗機,跟住X及選不回應,全組網頁就齊齊關閉,請高手指點,是否internet explorer 6.0有問題,我唔用6.0以上的,重裝6.0能解決嗎?

  81. 小豬

    我家的電腦所使用的防毒軟體是Avast的,其實昨天(98.12.26)我就有掃過病毒,就發現這個如蟲病毒,我把它刪掉了,以為已經成功刪掉了。
    沒想到(98.12.27)今天晚上卻跑出來蠕蟲病毒,刪掉後沒多久又跑出來,不知道到底位什麼???我有掃毒,但是電腦好像還是會有,不知道是不是重了再生的蠕蟲病毒,我很擔心,不希望從灌電腦,麻煩一下,不好意思。

  82. jenny

    請問電腦是vista的可以用一般使用還原片的方式還原嗎?
    電腦主機有回應 可是螢幕沒訊號該怎麼辦?

  83. changyang319

    現在有很多病毒都是這樣的,所以並沒有萬能的掃毒軟體。這種只能手動的去找出真正在每次開機時去產生病毒的程式,蠻複雜的,很抱歉沒有辦法說明的很清楚,不過大多的步驟就如文章中所說的一樣。

  84. changyang319

    所有的電腦都可以使用還原片還原,通常你如果是買品牌的套裝電腦,都「可能」有附還原光碟,就可以利用這些片子來還原電腦。
    而最後你說「電腦主機有回應,可是螢幕沒訊號該怎麼辦?」這個問題是和上一次問題是一起產生出來的嗎?
    如果是電腦螢幕沒有畫面,這個有蠻多的情況的,而且發生的原因很多,例如:有些電腦是一按按鈕開機,就沒畫面了;而有些是一開電時還看的到畫面,但進入Windows後就沒畫面了;而有些是螢幕線沒插好、螢幕壞掉…等等,問題太多了。

  85. 小哈

    我的電腦無論是上網或開檔案都變的很慢,我用趨勢掃毒掃很久都無法掃毒完成。我是不是中毒了,電腦設定有2個使用者,只有其中一個會很慢,登出使用另一個又正常。

  86. 電腦白痴

    最近找找找找到你家
    照你方法去點
    我看到一個我家列表機的
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVP.EXE /FU "C:\WINDOWS\TEMP\E_S10A.tmp" /EF "HKLM"

    他有兩串C餒
    這樣是嗎?

  87. 冏人

    我ㄉ電腦一直重新開機,而且沒螢幕,進的去BLOS的畫面但是沒有螢幕(看不到),這樣電腦有就嗎?

  88. changyang319

    要看情況,我不懂你有沒有救是什麼意思,你送去修理不就有救了。
    「一直重新開機,而且沒螢幕」,既然沒有螢幕了,你怎麼知道,電腦有進入BIOS?

  89. changyang319

    有兩串是沒有關係,都是在同一行。如果你不確定這行有沒有問題,我建議你先將這行「機碼」給抄下來或先匯出,然後刪除這行機碼後重新開機,再試一下印表機的運作有沒有正常,如果印表機有問題時,再把這行機碼重新新增回去就好了。

  90. 冏人

    電腦會重新開機2次,一開機一直狂按「Delete」鍵不是就會進入「BLOS」的畫面嗎?我知道他(電腦)有進去「BLOS」,可是螢幕一直沒有,不知道有沒有救?

  91. 第一次試著自己解毒

    我的電腦一開機桌面的應用程式我資料夾沒出現,就出現一個稱為"control centor"的視窗,叫我要去買一個license,請問這是中毒嗎?還是真的要買?

  92. changyang319

    當然你一定要先確定螢幕有沒有問題,可以隨便別台主機來試,或是將螢幕拿到別人家試看看。
    另外如果你的電腦會重新開機2次,要先確定是不是作業系統的問題,因為作業系統沒損壞時,也會發生這樣的情況。確定不是軟體方面的問題時,再檢查一下顯卡、主機板及RAM。

  93. changyang319

    沒有畫面,我不清楚你所說的「control centor」是什麼,和微軟所提示盜版的訊息有關嗎?
    但是當然不是電腦叫你去買你就買,這個情況如果嚴重到你無法忍受時,重灌就好了。

  94. 冏人

    謝謝你喔!我終於知道要怎麼辦了。

  95. winsock—牠還註明無毒
    wsock–無毒

    都是從avast掃出來的

    我真不知是要用dll的程式把他殺掉,還是要直接按刪除

    請你幫幫我^^

  96. 小白豬

    謝謝大公無私的分享
    但是我希望可以做成文字檔之類的
    音位這樣可以列印下來看
    不用一直盯著電腦看那種小字體
    希望你可以把它做成WOOD的檔案或是比較本之類的我希望做完之後可以寄到我的信箱或是再放到無名之類的
    我一定會再來看
    謝謝

  97. changyang319

    …我希望我做的到。

  98. 電腦怪怪的人

    我的電腦之前灌pps都沒事
    灌完之後跳一堆廣告
    手頁也改不掉(進入是大陸網站)
    有時候還會出現全蘭的畫面就自動重開機
    麻煩幫幫我
    謝謝

  99. Dr. Yuri

    有問題的Cookie一定要馬上解決,不然你可能會因為那些Cookie而電腦中「猛毒」。
    「猛毒」是一種可怕的病毒,他會藉著Cookie躲藏,等到你覺得電腦有問題的時候,已經來不及救了,「猛毒」它可怕的地方就是他會在你重灌時跑到光碟裡面,當你灌入電腦時,它還會在電腦裡面。

  100. changyang319

    灌pps會跳廣告,應該算是很正常的,但灌pps並不會改掉你的首頁才對,也許你灌的pps版本是「有心人士」做好的版本,你要下找pps最好是從官方網站的下載鏈結下載。
    另一種可能,就是你的電腦原本就中毒,中毒的原因並不是pps所引起的。
    再來,你說你的電腦會變成全藍,然後就重開機,通常這有可能是作業系統損壞所引起,嚴重的話,還有可能是硬碟壞軌所引起。如果是系統損壞,可以用作業系統光碟做修復或是重灌;但若是硬碟壞軌,最好就趕快備份資料,準備換硬碟了。

  101. changyang319

    先謝謝Dr. Yuri的回答。不過…我不曉得這些知識你是從哪邊吸收來的?科幻小說嗎?
    第一病毒並不會利用Cookie躲藏(Cookie是網站要記住你的一些習慣,下次再造訪時,就可以讀取這些資料,但它並沒有主動的攻擊性),再來重灌時,還會跑到「光碟」裡?這真是太神奇了,這你一定要教教我。光碟片一但燒好(CD-R),就不可能再燒進任何的資料,更何況是還很聰明的想要躲進光碟。

  102. aa

    請問vhg32.exe可以刪嗎?還有我的電腦說C:\WINDOWS\System32\Drivers\esbamfm.sys
    使用啟發式掃描技術掃描時發現一個可疑檔案.這可能是一個惡意程式,請問需要刪嗎?

  103. xx

    那有什麼問題可以把廣告用掉勒
    打電動的時候一直跳很煩…
    而且我家的店鬧事剛買的筆電= =

  104. 電腦白痴

    想請問一下~所有的{預設值}裡都是空白的嗎?我的電腦中毒了,使是刪不掉.想請教你:病毒馬是Win32:Adware-gen[Adw]
    Win32:Malare-gen
    這兩個一直刪不掉..超困擾的..幫幫我!!

  105. 菜鳥

    在下在自己電腦HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603裡發現,除了預設值外,尚有-000-001-002等三個名稱,其資料內容分別是avgrsstx.dll,AhnRpta.exe,aqoeerw.exe,我知道這3個內容是病毒檔的名字,但是不太確定病毒檔是否還在電腦某個位置(因為在"我的電腦"裡用搜尋的找不到),此前曾用了郭書維的kavo_killer軟體清除病毒,會不會是因為如此才找不到病毒檔,若然,那我是否只要將那3個名稱的內容清空就好了?還是仍需要再找出病毒檔藏在那裡?

  106. changyang319

    的確,所有的「預設值」裡面都是空白的。另外你電腦中毒的事,如果你照著我的方法做還沒有辦法解的話,就只能送電腦公司了。

  107. changyang319

    用「我的電腦」裡基本上當然是找不到的,要使用命令提示字元,使用命令「dir 檔名 /s/a」來搜尋,這樣才有辦法找出來。另外,我覺得你可以先把這幾個檔名抄下來,然後再把這幾個登錄值刪除,重新開機之後,再來看一下有沒有被病毒回寫回來,如果沒有的話,就可以不用管那幾個檔案,如果有被回寫的話,就還要另外去找出是誰回寫的,情況就會變的很複雜了。

  108. 菜鳥

    我執行「dir 檔名 /s/a」來搜尋後,都沒有找到那3個檔案;本來今天要照您的建議去刪掉那幾個登錄值,結果發現除了預設值外,只剩下"000"這個名稱,且資料內容變成"system",不知是否是因為我後來有使用CCleaner處理登錄檔的緣故,總之,很感謝您的指導,之後用symentec、housecall的線上掃毒,結果都是乾淨的:)

  109. Dr. Yuri

    跑到光碟的是「猛毒」的病毒種,他會先暫存到光碟裡,等下次要用的時候‧‧‧。因為猛毒是人操控的!!!

  110. 宇宙無敵電腦大肉蝦

    我的HKET_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
    Winlgon/Userinit
    裡面顯示的是
    C:\WINDOWS\system32\userinit.exe,zouni.exe
    這樣不就是中毒了嘛??
    但是我把exe,後面的全刪掉,他國一下下就又跑回來了
    為甚麼??
    有辦法把病毒砍掉嗎??
    還有,我的電腦常常自己跑出莫名的網頁,這又是位甚麼??
    中毒的話就會這樣嗎??
    拜託妳幫幫忙了ˊˋ我的HKET_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
    Winlgon/Userinit
    裡面顯示的是
    C:\WINDOWS\system32\userinit.exe,zouni.exe
    這樣不就是中毒了嘛??
    但是我把exe,後面的全刪掉,他國一下下就又跑回來了
    為甚麼??
    有辦法把病毒砍掉嗎??
    還有,我的電腦常常自己跑出莫名的網頁,這又是位甚麼??
    中毒的話就會這樣嗎??
    拜託妳幫幫忙了ˊˋ

  111. changyang319

    你的問題你也很清楚了,就是中毒而已,像你刪了userinit.exe後面的文字之後,它還是會再跑回來,這就代表有其它的程式又將這段文字回寫回來了,解決這個問題,就是要找出是哪隻程式做了這件事,先刪除那支程式,再回過頭來清掉Userinit.exe後面的文字就可以了,不過,用說的比較簡單,真正做起來就麻煩多了,你可以多加研究我寫的這些解毒文章,要不然就找個人重灌比較快。

  112. 請問

    C:\SYSTEM VOLUME INFORMATION\_RESTORE{773A718A-F5BC-449D-ADA8-D46831292E7E}\RP7\A0005715.EXE

  113. wen

    您好,
    請問我的電腦裡有一個
    C:\WINDOWS\system32\SVCH0ST.EXE
    這個是病毒嗎?
    請問如果是的話,我要怎麼刪除他
    感謝了

  114. changyang319

    如果那個"0"是數字的"0",那就是病毒沒有錯了。正常的檔案應該是英文字母的"O"才對。至於怎麼刪除,如果你沒有辦法直接刪除它,就請你看我相關的文章了。

  115. changyang319

    那你就要嘗試手動的去這個資料夾中刪除它。

  116. 奶瓶

    您好
    我的念腦中毒現在想要直接重罐
    硬碟裡面裡面有學校的資料
    我應該用隨身硬碟直接複製出來?
    還是應該把那些資料燒成一片一片的光碟?
    我同學說用USB隨身硬碟複製會順便把病毒也複製出來 但我另外的朋友卻說用燒光碟也會燒出來
    請問我該怎麼保留那些資料? 謝謝您

  117. changyang319

    我建議你用USB隨身碟將資料備份出來,重灌完電腦後,先把作業系統儘可能更到最新,並且要把防毒軟體也安裝好,且病毒定義檔也要是最新的,最後再把USB隨身碟插上,但不要急著從「我的電腦」直接去開啟那部隨身碟,先用防毒軟體掃描過整個USB隨身碟之後,最好能確認USB隨身碟的根目錄沒有被植入一些有害的執行檔之後,才能夠直接的雙點擊磁碟機代號,要不然的話,就是從網址列上去選擇那部磁碟機進入,這有點不好形容,總之,用USB隨身碟來備份資料,先不要將資料燒在光碟裡,因為要是真的有病毒的話,你會把病毒也一起燒進光碟片裡,要是真是這樣防毒軟體就沒有辦法幫你把光碟片的資料清除。但如果你夠小時的話,其實燒在光碟片裡也是可以,病毒本身不會怎麼,只要小心不要去執行到它就好了。

  118. 物件無法存取怎麼辦
    如過要用找的把他刪掉
    可是很難找阿

  119. changyang319

    手動解毒本來就比較困難,從目前正在執行中的程序,並且把它終止掉,就可以去刪除掉想要刪除的檔案。若還是不行,可以利用WinPE之類的開機光碟來開機,進入Windows的系統後,再去刪除想要刪除的檔案。
    要是再不行的話,也可以拔硬碟到別台電腦上去處理,總之,過程很瑣碎,也很麻煩,要是覺得麻煩的話,重灌最快了。

  120. 對電腦有興趣

    請問
    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

    RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    都是病毒碼!?

  121. changyang319

    那個都不是,都是正常的程式。

  122. 小憲

    我看了以後發現
    我的好多預設值都"不是"空白耶…

  123. changyang319

    那要看你預設值上面填了些什麼文字。

  124. 流浪嘉

    請問我進到登錄系統後,怎麼找不到以下這些呢?
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnceSetup

    # RunServices

    HKEY_CURRENT_USER\SOFTWARE\Windows
    \CurrentVersion\RunServices

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServicesOnce

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServices

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServicesOnce

  125. 吸塵器

    我照你上面的程序去做結果我load是顯示
    LoadAppInit_DLLs

    那我該怎麼辦呢?
    感謝回答!
    我覺得這個網站真是太神

  126. 小魚

    你好大大,可以幫我看一下,每次開機都會出現這種訊息,SVCHOST.EXE-應用程式錯誤
    內容是【"0x77d baba7"指令參考的"0x77d baba7"記憶體。該記憶體不能為"written" 然後不管我按確定或取消
    再去按音量就又會變成【沒有使用中的混音裝置可使用…】了
    而且有時候像網頁的視窗
    右上角那些縮小放大跟關閉的按鈕都會從原本的藍色變成銀白色
    就連桌面下面的的工具列有時候也會變銀白色
    ,這是中毒嗎? 我在網路上找到的答案是:音效驅動程式錯誤?這該怎麼處理

  127. changyang319

    當然要先確定這個「loadAppInit_DLLs」是你有用到的程式所寫上去的,還是惡意程式寫上去的。我建議,先把這個字串完整的存下來,然後再從load中將這個字串清除掉,如果清除掉之後,對你其它任何的軟體都沒有影響到的話,就可以不用管這個字串了,反之,如果你發生日常在用的程式不能執行了,或是有異常的狀況時,那就再將這個字串回寫回去,確定一下是不是這個字串所造成。

  128. changyang319

    這個問題看來像是因為驅動程式發生問題,而造成系統問題,並不是中毒的狀況(但我並沒有說你的電腦沒有中毒,因為大多數的人電腦都是中毒而不自知)。
    如果我要修復這個問題的話,我會「重新安裝音效的驅動程式」、「檢查音效裝置是否真的有異常」,以及「將Windows更新到最新的狀態」。

  129. 隱形

    我才重灌
    可是ㄊ又中毒ㄌ
    什麼應用程式都不能進去~~(包括防毒軟體)
    話說你給ㄉ檔案我都沒有耶(毒)!!
    可是還是完全進不去…
    拜託幫幫我呀
    快瘋掉ㄌ…
    感謝~~

  130. changyang319

    你這樣問我也不曉得是怎麼回事?

  131. 小乖

    對不起 我才4年級 所以我還是不太懂耶 所以我都看不清楚-ˇ-""

  132. changyang319

    慢慢看,對電腦有興趣的話,久而久之就會懂的。

  133. Hank

    執行」裡,輸入「regedit」

    我按確定他就跑出一個叫我選要用什麼程式開啟耶?怎麼辦

  134. changyang319

    第一,發生這種情況,當然是先去檢查regedit.exe是否有被替換掉,以我的XP SP3的regedit.exe,它的檔案大小為 132,096 bytes,你可以去檢查一下C:\Windows\regedit.exe一下,若檔案大小相同,你可以嘗式直接到Windows的目錄底下直接去執行該檔案一下,看看會有什麼結果。

  135. Hank

    可以直接把"C:\Windows\regedit.exe"複製貼在我的電腦?
    我貼上後,他跑出一個檔案問我說要執行或儲存?
    我該繼續執行?

  136. 緣~

    我中了一隻病毒:[Windows XP Restore-v Spyware/Adware],掃到時都顯示[移除登入值],物件名稱[HKLM\SOFTWARE\Microsoft\ESENT],每次開機都會復活,不知怎麼辦,可否幫我看看,感激不盡~

  137. Dr.Yuri

    最新研究發現,其實「猛毒」是人為引起,某甲買到附毒的WindowsXP光碟片,因此造成電腦的不適,在此提出聲明,絕對沒有「猛毒」可以侵犯到大家的電腦,為此事件真是深感抱歉。

  138. Paul

    您好,想跟您請教:
    我在msconfig中的啟動項目看到一個打勾的項目是沒有名字,命令欄也是空白的。但是他有位置,正是在HKLM…current version\Run那裡。我一一比對後,該項似乎只能是"(預設值)"。然而空白者實在很怪,未知是否是有惡意程式,抑或是系統本身登錄的bug?
    感激不盡!

  139. changyang319

    那個沒關係,是正常的,不需要動它。

  140. 訪客

    請問我電腦開機連線後 防火牆程式就會跑出警告說 有個名稱為*的應用程式想要與網路連線 用電腦搜尋程式也查不到在電腦的哪個地方 請問你有辦法解決嗎

  141. Puffy8635

    哈囉!!我想請問一下

    我用ESET Smart Security4的防毒軟體結果掃到這些病毒~C:\WINDOWS\system32\768CBE\E64E98.EXE – Win32/FlyStudio.OGW 木馬 的一個變種
    C:\WINDOWS\system32\ABD6D4\Z5A84EB7.EXE – 可能是 Win32/FlyStudio.OGT 木馬 的一個變種
    C:\pagefile.sys – 在開啟 時發生錯誤 [4]

    那我該如何處理呢?

    請大大幫我解決~謝謝

  142. changyang319

    搜尋這個「*」,當然一定是搜尋不到,我是建議可以注意一下,在開機時有哪些程式會啟動,然後再一一的過濾,看看是哪一個想要連線到網際網路。當然,這有點麻煩。

  143. changyang319

    如果防毒軟體解不掉的話,要自己手動解是蠻麻煩的,我建議你可以先將目前的防毒軟體移除掉,先換上其它的防毒軟體看看,說不定其它的防毒軟體會有辦法解掉,這是我想到比較簡單的辦法。相關的防毒軟體你可以參考「https://mrtang.tw/blog/post/25851069」。

  144. jimmy

    您好:請問win2000電腦在工作管理員內有很多rundll32.exe在執行,是中毐嗎?要如何解,因為網路一直有問題,謝謝

  145. changyang319

    原本電腦中就會有蠻多rundll32.exe,所以不能就直接斷定這些是病毒。

  146. 訪客

    請問電腦他嚴重到用執行打regedit也都跑不出東西來怎麼辦呢?
    而且整個桌面上都沒東西.開始功能表裡所有程式都沒東西
    而且還出現一堆視窗上面寫"Windows – Delayed Write Failed"的東西
    是不是代表電腦完全沒救了? >"<

  147. changyang319

    你要注意,Windows出現這種「延遲寫入」的情況,最常發生在我們的隨身碟上,因為還在使用中,就將它抽出來。但如果是你平常就會發生的話,就要小心硬碟已經快要掛點了。

  148. 桌面整個變黑

    您好

    我想詢問一下
    我的筆電今天用到一半IE突然自己關掉
    再開一樣是自己關掉

    之後桌面上就出現了很多
    windows-delayed write failed
    failed to save all the components for the file…..
    之類的小視窗
    而且它自己重新開機後
    桌面完全變黑 桌面上的東西也全都不見
    按開始也都沒東西 全都顯示(空)
    右下方黃色三角形的警告標誌一直出現Critical Error

    可以麻煩幫我解答電腦怎麼了
    然後可以怎麼救嗎??

    謝謝

  149. 路過的訪客

    我想你應該跟我一樣是受害者,請參考以下這篇

    http://evil-ms.blogspot.com/2011/06/hdd-pluswindowsrecoveryms-removal-tool.html

    我是轉貼的,若有侵權,請告知,會盡快刪帖

    目前也在決定中。

  150. 訪客

    謝謝

    會試試看的

  151. changyang319

    謝謝您所提供的資訊。

  152. changyang319

    先重灌,再會發生這類的情況時,再來檢查是硬碟還是記憶體的問題。

  153. 救命

    剛登入進去桌面就出現
    Sync.exe
    Error:registry2.key_arror[RegopenKeyex0 failed:Key"Software\Fighters\RCPRO\Mise"(2)]
    之後就當了這是為什麼阿?

  154. kin

    請問這是病毒嗎
    C:\PROGRA~1\COMMON~1\System\MAPI\1028\nt\mlcfg32.cpl

  155. sofa89

    您好
    請問中毒後media player一直自動跳出,但沒有回應,所以不停重覆強制關閉
    (像用工作管理員那樣)
    您上述說的那些路徑我都有檢查過了,都跟您的一樣
    怎麼辦呢?

    還有,若嚴重到要重灌的話
    我勢必得備份檔案
    那麼這些檔案複製到外接硬碟裡
    病毒會不會也一起進去毀了我整個硬碟?

    先謝謝您提供以上資料:)

  156. changyang319

    病毒是不會毀了你的硬碟(但有可能毀掉你隨身碟的資料),除此之外,病毒最多只是跟著你的資料一起進去而已。

    你還是要先把重要的資料,先放進隨身碟,之後重灌好電腦,並且灌好防毒軟體時,才能將隨身碟插回去,此時,立即要做的事,就是利用電腦上的防毒軟體,立刻對隨身碟掃毒。

  157. kin

    請問這是病毒嗎
    C:\PROGRA~1\COMMON~1\System\MAPI\1028\nt\mlcfg32.cpl

  158. kin

    C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
    刪了後面的文字之後,它還是會再跑回來,要如何找出是哪隻程式做了這件事

  159. changyang319

    這個是輸入法相關的程式,不用理會它沒關係。

  160. 你好 請問一下 前幾天我ㄧ登入桌面後在avast跑出來後就當機
    我把他刪掉後就好了 但現在的情況是都會跑應用程式錯誤 尤其是在玩遊戲時
    一按鍵盤網頁就掛了 也是中毒了嗎

  161. changyang319

    這我不曉得,也許只是系統檔案有問題。

  162. 訪客

    你好 我今天下载了 風行網 來看電影
    可是想uninstall時AVG就說有病毒,是AU_.exe來的
    我照你上面說的都弄過了,
    連C:\WINDOWS\Prefetch裡所有檔案都刪了,
    還是無法UNINSTALL 那個風行網的程式,
    金山毒霸也搜不出毒來
    請問這也是中毒嗎? 有沒有什麼解救方法?

  163. Joy

    您好
    我的防毒軟體(avast)最近一直掃到這個毒:

    原始檔名:setup_tmp1.exe
    原始資料夾:C:\\Windows\Temp
    檔案大小:311480
    病毒描述:Win32:Malware-gen
    檔案ID:28

    請問要怎麼清除呢?
    (我有在YAHOO知識發問:http://tw.knowledge.yahoo.com/question/question?qid=1611121702069
    但答案都是用別的防毒軟體…..)

    我不想重灌
    麻煩您幫我
    謝謝!^^

  164. kingme520

    我玩online game的时候有病毒,要怎样删除哦,不过不要连我的game也删除哦~求求你教我要怎样做><

  165. 瑄瑄

    為啥我家電腦不能下载線上 遊戲呢!

  166. eaglejoy

    您好!
    看了您的解說,我對於有些疑惑已有點概念!
    回家會帶著筆電一步步照著做~
    但我敘述一下我遇到的困難:
    1. window 正常開啟,此時桌面的螢幕都正常
    2. 可以連線網路
    3. 開啟 ie 後,不僅沒有回應,數秒鐘之後,螢幕變黑屏
    4. 無法啟動工作管理員

    是否這樣是遇到更棘手的問題呢? 謝謝~

  167. changyang319

    你的問題真的是蠻棘手,不曉得都不動時,螢幕會不會變成黒色的?
    因為如果會變成黒色的,就是windows的問題,不是ie的問題。
    但要注意黒屏也有可能是硬體但問題,釐清這問題很重要。
    要勉強用的話,或許可以安裝firefox或chrome來上網,
    不然還是直接重灌比較快。

  168. CKL

    你好,我想問我VISTA機我係'RUNONCE'入面有個Launcher '%WINDIR%\SMINST\launcher.exe'
    是不是毒?

  169. changyang319

    建議可以刪除這個,因為會一直把開機要載入的程式放進這裡,我想都不是什麼好東西。

  170. 995

    win32/psw.onlinegames.oum PGM這ㄍ怎麼辦

  171. changyang319

    如果是我的話,我會把這個鍵值刪除。

  172. 智銘 蘇

    Sync.exe
    Error:registry2.key_arror[RegopenKeyex0 failed:Key"Software\Fighters\RCPRO\Mise"(2)]
    請問是什麼意思啊?
    感謝您~~

  173. 小胖

    請問一下 我照你方法找到了Run 他會出現一排很像檔案的東西是要全部砍掉嗎?
    還是要更改路徑我笨笨的看不懂 = =

  174. 月仔

    你好 請問一下 我之前用電腦傳東西給手機 都不會出現  
    "「0x????????」指令引用的「0x????????」記憶體。該記憶體不能為「read」。"

    昨天我要用的時候 就會出現 那表示我中毒了嗎!!?? 還是我的記憶體不足!!??
    我的C槽記憶68.3GB 可使用 29.3GB

  175. 乜唧

    您好
    最近電腦時不時重新開機
    也有突然當機 畫面變藍色屏幕附加一些英文
    是中毒了嗎?
    以上方法有找過 但沒有上列問題…

  176. 芸芸

    開個視窗會跑很多出來
    ,不然就是視窗關不完,…剛開機,點網路等很久,又出現什麼錯誤的
    請問我的電腦中毒了嗎??

  177. Tiana

    我想問一下 我之前安裝風行網在win-7的電腦 後來我刪除它 可是之後連線都會顯示在下面 請問我還要去哪刪除它呢??

  178. changyang319

    刪除的時候,你有到新增移除程式下去移除程式嗎?如果有的話,那可能沒有移乾淨,建議您可以再安裝一次風行網,然後在移除一次,不過這一次在移除前,先記得將正在執行的風行網程式先關閉,再開始移除的作業,我想這應該是最簡單的辦法了。

  179. 不好意思請問一下
    在下面的文章
    有問題的登錄值總整理
    裡面的是要一個一個找 還是哪些地方
    可以用編輯的尋找嗎?

  180. changyang319

    通常你可以先看你自己的登錄值,再來對看看我這邊有沒有符合的。

  181. 訪客

    可以請問一下怎麼看登入直嗎?
    因為我不太懂
    電腦最近電源供應器會不間斷發出聲音
    然後面會就會卡住 再來是滑鼠 過伊下變鍵盤
    等一下子就又好了
    聲音會不間斷的一聲 有時會連續
    想請問怎麼解決= =
    都有掃過讀了 有掃到1.2個山掉了

  182. changyang319

    我問你喔,如果房子會漏水,會是因為屋子裡面有狗大便才漏水的嗎?應該是不會吧?
    再來,你都說了,電源供應器會不間斷的發出聲音,這顯然電源供應器已經有點問題了,通常來說,電源供應器會發出怪聲音,比較輕微的關係,大概都是風扇快壞了,比較嚴重就是電源供應器隨時會罷工。
    當然這類的問題,還是需要有人來做測試,才可以找出問題在哪。

  183. 柒捌弟

    板大你好
    我的則是NOD32防毒軟體跑出 檔案:C:WINDOWS\System32\Wbem\LogsWork\KB981197.log病毒 應該怎麼解呢???不然警告視窗長長一直跳出來
    還有我電腦打字 不能一次打很多在案Enter 一定要打一個字案一次 這也是中毒的關西嗎???
    如果要重灌這些問題會改善嗎???

  184. changyang319

    是不是中毒的關係,我也不確定,不過如果您要重灌的話,一定能解決您這些軟體的問題的。

  185. 幫個忙吧= 口=

    版主我最近工作管理員被鎖
    登錄編輯程式也被鎖起來
    這兩個問題處理好了
    可是CPU一直都處於高處
    請問版主有辦法解決嗎????

  186. C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
    C:\PROGRA~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE /SetPreload /CHT /Log
    C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /FORPCEE4
    請問這幾個檔案有毒嗎?

  187. changyang319

    我大概看了一下,應該是沒問題。

  188. lspss93070

    不好意思,請位一下我在開機之後電腦就會跳出 KpMini.exe-應用程式錯誤
    "0x00407c29"指令參考"0x00000000"記憶體。該記憶體不能為"read"。
    請按[確定]終止程式
    請按[取消]進行程式偵錯

    我不管按取消或是確定這個視窗都會一再出現,請問該怎麼解決呢?

  189. changyang319

    先進入安全模式後,再找出這個程式開始自動執行的地方,然後再把它從啟動的清單中移除,這樣下次開機時就不會再開啟了。

    另外我查了一下 kpMini.exe,應該是這個東西。
    http://kuping.softonic.cn/

    如果你有安裝了這個東西,再從安全模式中把它移除即可。

  190. 首先真的很謝謝您用心撰寫這些 讓沒有概念的人可以受惠!

    我有遵照您的步驟找尋Load 但我的該目錄內沒有此項目 想請問這樣是出了什麼狀況呢?十分謝謝您
    http://img577.imageshack.us/img577/7128/u2gf.jpg

  191. changyang319

    我剛有看了一下,在Windows XP裡面確實有這個鍵實,但在Windows 7裡,似乎已經取消這個鍵值了,所以如果你的是Windows 7,沒有這個值的話,是正常的。

  192. Chris Huang

    你好:
    請問一下這個是病毒嗎?
    最近電腦中毒,發現登入檔裡有這個
    名稱 M:\spwn2cvf.exe
    數值 spwn2cvf

  193. changyang319

    應該是木馬程式沒有錯。你可以看一下你的M槽是放什麼東西,是隨身碟嗎?還是記憶卡槽?因為一般用不到M槽。

  194. Chris Huang

    你好:
    我的電腦裡並沒有M槽,才覺得奇怪怎麼會有這東西!
    之前下載檔案,在下載網頁按到錯誤的檔案,被防毒擋下來了,應該也刪除掉了
    = ="
    但是現在開機後會出現小的廣告視窗,有時開機就被安裝了程式,都是簡體字!
    按照你的方法到登入檔去刪除,好像沒刪到主要的,廣告視窗還是一直出現(只有廣告視窗的登入值找不到! 在廣告上按右鍵內容,紀錄網址甚麼的,卻都蒐尋不到),我想可能躲在隱密的地方@@ 用spybot-search&destroy 也找不到!
    不知道我這個能解決嗎?? 十分感謝!!!

  195. changyang319

    如果是我要解決的話,我也是利用這篇文章所教的這些方法,所以你在開機時會有東西跑出來安裝的話,就一定都是從這些 登錄的鍵值 來啟動。因為我沒有辦法幫你看電腦,所以也沒有辦法幫你解決,這真的是很抱歉。

  196. Chris Huang

    沒關係! 那我再請教一個問題,如果發現有問題的登入值,但是卻無法刪除!
    會出現一個視窗說"刪除錯誤"或是無法刪除的字樣,我很確定那就是在電腦裡安裝程式的值,請問可以怎麼刪掉?? 謝謝!

  197. changyang319

    其實在我的經驗中,我從來沒有碰過在register裡,有那種不能殺掉的鍵值,我只有碰過那種一砍掉,又立即被回寫回來的值,這多半就是有另一支程式在做監控登錄值,一發現到鍵值被殺掉時,就又立即把值給回寫回來。
    如果你真的不能殺的話,建議您可以將Windows開進「安全模式」,再下去刪除試看看。

  198. 新手

    不好意思!!請問電腦變得越來越慢,是否是中毒了?
    是不是所有地方都要像這樣一個一檢查路徑 = =

  199. changyang319

    最好是可以這樣的檢查,不過電腦變慢,並不一定是中毒的關係,安裝太多軟體,讓太多軟體隨時在執行也是變慢的主因之一。

  200. 請問一下我平常都用Google瀏覽器開FB,但是最近電腦有點奇怪只要用注音半打字只能打兩個字,如果打超過又按了Enter的話瀏覽器就會直接關閉,這是哪裡出了問題嗎?拜託幫幫我

  201. changyang319

    其實這個要靠你自己測試一下,你要試同樣在IE會不會有一樣的情況,如果IE也會,或是其它軟體也會的話,那就可能是注音半輸入法的問題。
    而如果只有chrome才會的話,那就把chrome恢復預設值,或是重新安裝試看看。

  202. 路過

    我想請問一下喔!
    我前幾天下載遊戲程式在安裝的過程中
    防毒軟體偵測到有病毒
    看一下詳細資料後發現是木馬病毒
    隨後我點選他的建議選項
    之後就跑了一段時間
    之後我也到控制台刪除掉遊戲程式
    因此我在想會不會有其他木馬病毒存在於電腦裡面但防毒軟體偵測不到
    (P.S我朋友下載都並未針測到有木馬,因此我也有在想會不會是偵測錯誤)
    現在掃毒目前都無偵測到,所以我在擔心是否會有病毒潛藏在檔案裡面防毒找不到
    求神解QAQ

  203. changyang319

    當下防毒軟體抓到病毒時,若你有根據防毒軟體的建議來刪除病毒的話,基本上,就沒有關係了。
    我可以請問一下,你們安裝的遊戲是什麼嗎?

  204. 訪客

    不好意思請問一下
    我室在宿舍使用筆電,平時頂多也只是用PPS看看影片而已
    剛剛被網管告知我的IP好像被偵測到中毒了
    好像在攻擊宿舍網路,她們要求我重灌。

    請問現在掃毒還有解嘛orz
    我這台筆電之前安裝Spyware Doctor/Microsoft Security Essentials
    但這些防毒軟體都沒說我中毒..

  205. changyang319

    因為防毒軟體也不是每一支木馬程式都辨識的出來,因此你要使用可以監看你電腦通訊埠的軟體,來查看電腦裡有哪一支程式持續在對網路做大量的封包傳續動作。但這可能不好查,由於您使用的是筆電,因此我建議您將你的資料備份好之後,直接使用筆電的還原功能來把筆電還原(等同重灌),這樣會比較省時省力。

    還原鍵的教學:
    https://mrtang.tw/blog/post/31901145

  206. 路過

    我當時抓的是CS1.6完整版這個遊戲,而安裝過程結束時就也出現了木馬病毒了!!

  207. 訪客10/15

    您好,有以下幾個問題想請問您
    一.我位於HKEY_LOCAL_MACHINE裡的Run只有五個啟動程式這樣算正常嗎?
    二.我HKEY_CURRENT_USER裡面沒有load,這樣正常嗎?
    三.我HKEY_LOCAL_MACHINE裡沒有RunOnceEx, 這樣正常嗎?
    四.我HKEY_CURRENT_USER沒有RunOnceSetup ,這樣正常嗎?

  208. changyang319

    我以前也有安裝過CS破解版的,程式在安裝途中,防毒軟體也有偵測出是木馬程式,我認為那個木馬程式應該是真的,因為天下沒有白吃的午餐,雖然我也不確定防毒軟體有沒有確實的清除掉這個木馬,但當時我也沒理它,因為那一部電腦並不重要,後來也都要再重灌了。

  209. changyang319

    Run裡面該有幾個啟動程式,每個人電腦會因為所安裝的應用程式,而有所不同,因為要檢查的是,在上面的是什麼程式。
    而其它沒有「load」這三個鍵值,是因為後來新的作業系統都已經沒有這幾個鍵值了,所以請您不用擔心,這是正常的。

  210. Smiles

    您好,
    想請教最近將AVG移除(控制台\新增定或移除程式,移除avg)但每次開機後都出現AVG資料夾,AVG資料夾是空的没文件(路徑C:\Documents and Settings\Administrator\Application Data\AVG), 我該如何讓它開機後不會開始AVG資料夾, 在啟動資料為空的;另開啟「登錄編輯程式」HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run, 出現2筆數值 第一筆名稱 ctfmon.exe ,第二筆是AVG-Secure-Search-Update_0913b(路徑C:\Documents and Settings\Administrator\Application Data\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT –mid 5de291cc9caf47d3add9d16f5eeea43a-a84980894e0245f4762f7769d9ec94759dca4e9c –CMPID 0913b ), 這可以刪除AVG, AVG已移除?

  211. changyang319

    沒有錯,因為您AVG已經移除了,所以Run的第二筆是可以移除的,你大膽的將第二筆刪除吧!

  212. Smiles

    您好,
    太感謝您幫忙, 將它移除重新開機後即正常(AVG資料夾不再出現),學習到了,謝謝

  213. changyang319

    不額氣。

  214. 咕咕

    您好! 照您說的方式在
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce裡面找到
    名稱: FlashPlayerUpdate
    資料: C:\Windows\system32\Macromed\Flash\FlashUtil32_11_9_900_117_ActiveX.exe -update activex
    這是病毒嗎?需要將它刪除嗎?

  215. 咕咕

    抱歉同上!從新放上路徑
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows\CurrentVersion\RunOnce

    名稱:FlashPlayerUpdate
    資料: C:\Windows\system32\
    Macromed\Flash\FlashUtil32_11_
    9_900_117_ActiveX.exe -update activex
    請問它是病毒嗎?它出現在這裡需要將它刪除嗎?

  216. changyang319

    以這個名稱來說,雖然看起來的名稱「疑似」正常,但是出現的名稱及位置非常的奇怪。

    Macromed這個是Flash的創始公司,早在N年前就已經被Adobe給買走,而且將產品放進Adobe的Creation Suite裡了,在安裝時還會出現「Macromed」的文字很奇怪,所以要問您,你有沒有安裝「Macromedia Flash」這套舊版的Flash製作程式,如果有的話,這個就是正常的,如果你電腦沒有安裝過Flash這個舊版的編輯軟體的話,這個就是木馬程式偽裝的。

  217. changyang319

    我的回答同上一個,路徑修正後,回答的文字沒有影響到。

  218. 咕咕

    我也不清楚有沒有裝過,如果我直接把它刪除會有影響嗎? 感謝您回覆!

  219. changyang319

    直接刪除它吧,沒有影響的。

  220. 訪客

    請問win8本來就有附防毒軟體,所以我再裝一個防毒軟體是錯的囉?
    應該刪掉嗎

  221. changyang319

    看您要留哪一個都可以,把另一個刪掉即可。
    如果要刪Windows本身提供的防毒軟體,則可以參考這一篇文章。
    https://mrtang.tw/blog/post/32529481

  222. yonage

    請問一下~
    我按照"有問題的登錄值總整理"一個個去搜尋
    搜尋LSASS時 找到 在C槽/Windows/System32 有lsass.exe這個檔案 請問那是病毒嗎?還是是系統檔呢..

  223. changyang319

    你這個是正常的,不能刪除。
    我表中所列出的lsass.exe不正常,是因為它在不該在的位置。

  224. yo

    我用其他防毒軟體掃描時 掃到adware裡面有好幾個檔案為廣告軟體,低風險,請問adware是沒問題的嗎~?

  225. Moon

    您好 請問一下 我掃毒時出現以下訊息…

    開始搜尋隱藏的物件。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag14.00.00.01professional
    [注意] 登錄項目已隱藏。

    請問這是病毒嗎? 我從登陸編輯程式想打開"System" 出現以下訊息:

    無法開啟System。
    發生錯誤造成無法開啟此機碼。
    詳細資料:系統找不到指定的檔案。

  226. changyang319

    我已經有很長一段時間沒有用過Ad-Aware,剛才我上去看了一下它們的官方網站,發現到這段時間Ad-Aware改變很大,Ad-Aware它已經不再單純是一個偵測木馬程式的軟體,而是一個全方位的防毒軟體。

    所以如果偵測到Ad-Aware為廣告軟體,老實說,我是不覺得是,你可能要再用其它廠牌的防毒再測看看,說不定是有些廠商看Ad-Aware不爽而已,不過,如果Ad-Aware變成是一套防毒軟體的話,那老實說,也沒有使用的必要了,因為以Windows來說,好用且免費的防毒軟體已經很多了,像是AVG Free、Microsoft Security Essential都是不錯的防毒軟體。

  227. changyang319

    不曉得您有沒有安裝「oodefrag」這套可以重組硬碟的軟體?如果有的話,我是覺得這應該並不是病毒才是。

  228. 朵兒

    您好~ 我在掃描檔案的時候
    出現隱藏檔案:

    開始搜尋隱藏的物件。
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Winlogon\Notifications\Components\TrustedInstaller\Events
    [注意] 登錄項目已隱藏。

    請問這東西是應該存在於電腦的嗎? 有沒有問題呢…

  229. changyang319

    真的很抱歉,這個我不確定。

  230. LIANGG

    請問上面路徑都找過了 還是沒有找到病毒怎麼辦? 電腦確定有中毒 因為有個人資料已經外洩

  231. changyang319

    我建議直接重灌,因為要完整的把木馬病毒清乾淨,我自己也都沒有把握。

  232. gggc

    您好 請問一下 最近光碟機一直自己跑出來跑進去 超煩 是不是被植入惡意程式- –

  233. changyang319

    不是,可能是光碟機故障了,可以在電腦關機的狀態之下,拆開主機殼,然後把光碟機的「排線」先拔掉,只留下電源即可,接著再把電源接上開機,再觀察看看光碟機是否還會跑進跑出的,如果還是會的話,就是光碟機的問題了。

  234. 揚茂成

    無意間發現這電癮院,真的太棒了,有空要常來看一下.真的要說 感恩蛤!
    另外請教一下
    防毒軟體常出現攔截到exploit realplayer bof警示.是否也可以用這方法來刪除?

  235. changyang319

    你電腦裡面有安裝RealPlayer嗎?

    要不要試著更這到最新的RealPlayer,或者干脆把它移除算了,改用其它的播放軟體,例如KMPlayer。

  236. 揚茂成

    大大感謝你的答覆 好快喔 有點感動呢!
    試著在登錄檔中依樣畫葫蘆 可惜都沒找到可疑的資料(大概是還不很熟悉那些檔名跟預設值吧)
    我的系統是windows 7 剛剛看了一下 好像沒有realplayer 比較常用的是Windows Media Player還有優酷的播放軟體 不知道這有沒有關係?
    再感謝了!

  237. changyang319

    那我也不曉得真正是哪邊有問題。

    由於那個狀況,應該是有程式利用了realplay溢位的問題,可能想要做一些不好的動作,所以接著你要觀察,到底什麼樣的狀況之下,你做了什麼事?開了什麼程式或檔案?防毒軟體會攔截到這個訊息。

  238. 揚茂成

    版主謝謝你
    例如我是在奇摩搜尋(exploit realplayer bof病毒)時 這都不會發生 但是當他連結到(奇摩知識+)時候 網友討論或回答的網頁就會出現攔截警示 當然還有其他部份網站的連結也會出現 有些則不會 都是出現在連結時 有點納悶

  239. changyang319

    因為我沒辦法使用你的電腦,也想不到有什麼可以解決的辦法。

    還是你直接安裝最新版的RealPlayer試看看。
    http://tw.real.com/?mode=rp

  240. 揚茂成

    好的!謝謝你
    我會安裝新版的RealPlayer試看看 如果還有問題再來麻煩版主. 感恩!

  241. changyang319

    不客氣,你再試試,因為我也不能保證能解決你的問題,畢竟我沒碰過你的狀況,我也只能從網路上查資料而已。

  242. fool

    無法儲存 C:\DOCUME~1\User\LOCALS~1\Temp (請試試別的檔案路徑)。

  243. fool

    無法儲存 C:\DOCUME~1\User\LOCALS~1\Temp (請試試別的檔案路徑)。
    這個問題是什麼??

  244. changyang319

    抱歉,我也不曉得。

  245. fool

    好的 謝謝

  246. tina

    太棒了~~講解好詳細,依據步驟終於將se.exe病毒清除了。感謝!!

  247. changyang319

    不客氣,也謝謝您的造訪。

  248. 你好,之前手賤開了一個執行檔,之後我的電腦就出了點問題
    具體症狀是,玩遊戲的時候會一直跳回桌面,使用網頁的時候也會一直被移開(就是上面那條會變色,要重按一下才能繼續點網頁),開機的時候會跳出"請勿同時執行多個進程,可以按ctrl+alt+9叫出"這樣的訊息。還有剛剛跳出一連串英文訊息視窗,大意是無法執行"GOTOP"這個程式,我上網查了一下,確定這是木馬偷裝的瀏覽器。但是我照站主的方法去開機自動執行那邊,卻沒有看到什麼異常的程式。
    請問這樣有解嗎QAQ?
    感謝解答(拜

  249. changyang319

    在新增或移除程式中,沒有辦法移除這個被安裝的瀏覽器嗎?

    另外也推薦你用JRT這個程式,來幫你移除一些常見的工具列程式。
    http://changyang319.com/archives/1949

  250. 感謝站長
    我試著去做之後,最後還是決定重灌了,重灌過程中站長的文章也幫了我大忙!

    萬分感謝~

  251. changyang319

    不客氣,很高興有幫上您的忙。

  252. 揚茂成

    版主你好:之前請教你的問題(好像)已經解決了 (因為到目前都還沒再出現了)
    我是在安全模式下掃毒完後, 也在安全模式下把所有暫存檔案通通刪掉.
    這也是在網路上查詢到的方法之一(其他還有好多方法試了都無效)
    提供你做參考, 到底是甚麼原因我是不懂的.
    不過還是謝謝你

  253. changyang319

    謝謝您的補充哦。

  254. 88

    我只要一開機就有奇怪的程式怎麼辦?還有牙虎的網頁變成百度要怎麼條回來

  255. changyang319

    請人解毒,或是重灌,才能解決這些問題。

  256. 容容

    快幫幫忙我桌上型電腦掃到一個感染的檔案檔案名:[chest]c:\Documents and Setting\user\Local Settings\Temporary Internet Files\Content.IE5\OQUBNYI\Loadpops[1].htm 。,要如何解決能幫我或教我用嗎?謝謝

  257. changyang319

    不能刪嗎?如果這個是防毒軟體警告你的話,防毒軟體應該是可以刪除才是。
    這個是網頁快取資料夾的暫存檔,利用IE的清除快取,也許就可以清乾淨了。

  258. Fu Ru Chen

    不好意思
    因為我不太懂電腦
    但想請問下
    "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin

    C:\PROGRA~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE /SetPreload /CHT /Log

    "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    這個是毒嗎?
    請問如何解決
    因為不想要再重灌電腦一次了

  259. changyang319

    以這這三個都是正常的程式軟體。

  260. Fu Ru Chen

    可是我把
    C:\PROGRA~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE /SetPreload /CHT /Log

    "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    刪掉
    ( -launchedbylogin是去掉)
    然後原本掃毒後有些檔案無法掃到
    卻刪除掉後卻說沒有問題了

    那會怎樣嗎?(目前沒有看到電腦有發生甚麼事)

  261. changyang319

    應該是沒有關係。

  262. 黃俊涵

    請問大大,我在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows NT\CurrentVersion\Windows
    只有找到LoadAppInit_DLLs
    它的資料是0x00000001(1)
    沒有看到Load

    請問我中毒了嗎?
    謝謝

  263. changyang319

    不是,因為這篇文章基本上是適用在Windows XP,之後新版的Windows有可能會將某些鍵值給移除,像是這個Load就是一例,現在已經都沒有了。

  264. 小弯

    您好
    我电脑装的麦卡菲网络杀毒 可是现在 IE浏览器根本不能用 一打开 就是广告而且根本进入不了我想去的网页, 现在火狐 可以打开 但是也会经常跳出广告,我刚下载了
    ad-aware 是不是最好先卸载 我的麦卡菲再装 ad-aware 比较好呢? 辛苦楼主了!

  265. 我想請問我的Userinit跟你不一樣 是這個
    userinit.exe,C:\Windows\Installer\hdcfzdq.exe
    有中毒ㄇ0.0

  266. 還有 有些大陸檔案 都被Windows檔案總管開啟 要如何關掉

  267. changyang319

    您也可以嘗試用JRT這個工具程式來掃看看,這個Ad-Aware我已經很久沒有用過了,它從我以前用過到現在,已經改版了N次,我也不清楚現在是否和以前一樣好用。

    https://mrtang.tw/blog/post/40275736

  268. changyang319

    應該是有中毒,請您把後面這段給去除,這行只能有userinit.exe而已。

  269. changyang319

    這我就沒辦法了,這沒辦法用說說的就解決。

  270. 詢問者

    svchost.exe個別在WinSxS,SysWOW64出現請問是正常的嘛

  271. changyang319

    我認為是正常的。

  272. oo

    我想請問有沒有辦法把病毒移除但是檔案不會被移除的方法?
    (就像手指被針扎到,把針拔出來就好,手指不要剁掉的方法)

  273. changyang319

    我認為這是有難度,所以目前不太可能,因為一個檔案被偵測到裡面有病毒的機器碼,就算防毒軟體能把這一段機器碼給覆蓋掉,它也不會知道這個檔案原本的內容是什麼。

  274. 松鼠

    你好 請問為什麼我打完字一按Enter 視窗就會自動關掉 然後有時候打字打到一半也會 這種狀況是中毒嗎

  275. changyang319

    如果是視窗會自動關掉的話,可以用記憶體檢查軟體,掃一下看有沒有壞掉,因為記憶體壞掉時,程式或系統很容易發生錯亂而關閉,這個情況和你所敘述的有點像。

    https://mrtang.tw/blog/post/32616377

  276. 苦力怕

    那如果你說得沒用呢

  277. changyang319

    就沒用了,還有問題嗎?

  278. 小弟弟

    如果我的RUN 只有4排呢?

  279. 松鼠

    但是我家電腦是xp的 可是上面我只有喀到win7和win8的ㄋㄟ

  280. changyang319

    RUN幾排並沒有關係,重要的是這些在RUN裡面都是些什麼東西。

  281. changyang319

    我不太懂你的意思,不過如果查不到,我好像也沒有辦法。

  282. 布丁

    想請問這個是在HKEY_CURRENT_USER的Run裡面找到的,是不是有問題?
    C:\Program Files (x86)\National Instruments\Shared\RegistrationWizard\Bin\RegistrationWizard.exe -autoDiscover 1 -displayIfNoneFound 0 -displayRegisterOptions 1 -sleepIfNoneFound 0 -locale 1028

  283. 螃蟹

    你好 請問HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    這二個裡面有字串值得話是否要全刪

  284. changyang319

    你電腦應該有安裝或使用有關美商國家儀器公司的產品吧?所以這個軟體被安裝在你的電腦上。

    但如果沒有的話,我建議你直接把這個鍵值移除掉。

  285. changyang319

    當然不是,有問題的才刪就好。

  286. 螃蟹

    喔喔 謝謝

  287. 布丁

    好的 謝謝你

  288. changyang319

    不客氣哦。

  289. q09750089

    你好 我對電腦沒有很熟 有2個問題想請教
    要怎麼讓電腦和網路速度變快【家用版】
    還有 我用google瀏覽器時 滑動滾輪網頁不能上下移動 只有IE瀏覽能用 那我要怎麼處理

  290. changyang319

    申請中華電信光世代60/20M這個等級,如果網速還慢的話,就是該提升電腦的配備了。

    而使用某些網頁,滾輪會沒辦法上下移動,這有可能是網頁的開發人員,沒有針對每一種瀏覽器做完整的相容性測試,所以才會有不同瀏覽器,有不同的結果,這個無解,就只能暫時選擇能正常顯示的瀏覽器,直到網站改版為止。

  291. q09750089

    恩恩 謝謝你的解答

  292. changyang319

    不客氣喔。

  293. Kaichi

    請問
    avchost.exe在
    C:\WINDOWS\ServicePackFiles\i386
    算是病毒嗎?謝謝

  294. changyang319

    我不確定ServicePackFiles是不是放在Windows資料夾裡面,可能是正常的。
    但如果目前正在執行中的檔案,是從這個地方執行的,那就不正常了。

  295. 1010

    那要是下載到有毒的程式,官都關不掉(沒幾分鐘她會跳出來),重開機也是,要怎麼做?

  296. changyang319

    如果解決不了,找人重灌電腦,是最直接有效的方法。

  297. 訪客

    您好,請問:
    我的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run裡有出現一個名稱APISupport,其資料值是"C:\WINDOWS\system32\Rundll32.exe" "C:\Documents and Settings\Administrator.WINXPSP3\Local Settings\Application Data\TB\APISupport\APISupport.dll",DLLRunAPISupport
    請問是正確的嗎?還是病毒應該砍掉呢?謝謝幫忙.

  298. changyang319

    這我不確定,這樣的名稱看不出是否真的有問題。

    通常你可以先把這兩個鍵值,給備份下來,然後再刪除它們,試用電腦一段時間,都沒問題之後,才不用管它。

    如果你電腦沒有使用什麼特殊的軟體,我認為這兩個是可以刪除的,在我使用的軟體中,我還沒看過有這兩個鍵值。

  299. princessuy0502

    您好, 我叫JENNIFER, 是住在日本的菲律賓裔華人, 在國際幼兒園當教師.

    日前要移除某些程式時莫名發現一些叫什麼Justin Bieber 或奇怪名稱的程式, 而且刪不掉, 我不知道怎麼處理. 偶然來到您的BLOG, 但發現沒有提到相關的東西, 照您的步驟檢查電腦也正常. 我又不知道從何去找那些程式躲在哪個位置, 如果您能撥空解答, 將不勝感激, 謝謝 ><

  300. changyang319

    當刪不掉時,可以使用「登錄編輯器」去登錄中刪除,但只移除「新增或移除程式」裡的程式名稱,是沒有用的,目前你能做的,就是安裝防毒軟體,把電腦整個掃一遍而已。

    而最保險的就是直接重灌電腦了。

  301. 訪客

    不好意思請問
    SMSvcHost.exe
    SMSvcHost.exe.config
    位置在C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation
    請問是病毒嗎?電腦是XP系統 謝謝><

  302. changyang319

    我認為這應該不是病毒。

  303. 搞不懂

    妳好 請問一下
    我的登錄表的
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run
    裡面有一個叫這樣

    C:\Windows\system32\rundll32.exeC:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
    請問是病毒嗎?

  304. changyang319

    nvspcap64.dll這東西,是Nvidia顯卡驅動程式內的檔案,如果你的顯卡是Nvidia的話,這個就不是病毒。

  305. littleclock

    你好 請問一下 前幾天我重灌電腦 並設定好ADSL連線 但並未設定一開機就自動連網 結果每次開機後 在未撥接ADSL連線前 開啟Firefox瀏覽器 卻能連上網路順利上網
    是否中毒了呢?

  306. changyang319

    這跟中毒沒有關係,是不是離線頁面之類的,可以開啟其它瀏覽器,看看是否也能連上網。

  307. 訪客

    Window7能用嗎?

  308. changyang319

    手動解毒的方法都類似。

  309. 小弟

    太感謝你了,我之前中了一個木馬,會一直跑出超噁的圖片,現在手動刪除了,受小弟一拜吧。

  310. 被病毒搞的焦頭爛額的人

    您好,我的電腦昨天好像中了一個叫win32的病毒,因為網路上的方法都只有XP的,請問如果win7如果中了這種毒,要如何消滅?

  311. changyang319

    你很厲害喔,這樣居然看的懂,以這篇文章來說,能夠看著操作的,都相當不簡單。

  312. changyang319

    這個問題很籠統,病毒的種類很多,光說一個win32,其實我也不曉得那是什麼。

    如果真的搞不定,大概就只能用重灌的解決了。

  313. 藍球球

    那個大大問一下
    我的電腦似乎也中毒了
    我也不確定大概是什麼
    他會一直繁殖出HELP_RECOVER_instructions+jxw
    並且把我的圖片和影片都鎖住打不開
    請問這樣還可以自行解決嗎??☺

  314. changyang319

    其實我也不曉得這你有沒有辦法能夠自己解決。

  315. a0929171300

    請問
    我今天下午 使用了megadownloader(阿榮福利味)下載的
    載了 eyny上的料理鼠王的影片 後 晚上電腦怪怪的
    網頁速度很慢 C槽容量突然變多 很多資料夾莫名消失
    原本工作管理員的處理程序還會有一排的svchost 突然都消失了
    svchost這資料夾也消失了 電腦速度漢網路速度都變很慢
    這篇文章的方法都看過了 並未找到什麼可疑之處
    userinit也正常
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run 這裡的啟動程式只有2個
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows NT\CurrentVersion\Windows\load 我去到那邊沒有看到load
    我已經嚴重懷疑自己已經中毒 但防毒並沒掃到 (avast)
    請問電腦是怎麼了

  316. changyang319

    抱歉,這我不是很清楚喔。

  317. 訪客

    請問如何從路徑資廖找出他登錄值的地方?

  318. believe7548

    你好
    我電腦中毒了 刪了還一直跳出來
    Trojan:Win32/Skeeyah.A!bit 請問如何完全刪除
    煩請大大 謝謝

  319. changyang319

    中毒的問題,我也幫不上忙喔,抱歉。

  320. 訪客

    請問 我想知道在HKEY_CURRENT_USER的資料欄那裡會有名字或是檔案嗎? 還是那裡是空白的?
    我的資料那裡出現了F:\Elsword\Elsword.exe的檔名

  321. changyang319

    如果沒有玩艾爾之光這個線上遊戲,就代表這是有問題的。

    而且,應該沒有遊戲會這樣直接把執行檔,放到開機程式的清單之中,怪怪的,所以移除沒關係。

  322. 訪客

    那個我的連執行regedit打開他直接秒跳掉甚至不給開這樣還有救嘛

  323. changyang319

    如果只有regedit會跳掉,就還有機會。

    如果是打開什麼程式都會跳掉的話,說不定是記憶體有問題,可以用這個「記憶體診斷」測看看。
    https://mrtang.tw/blog/post/32616377

  324. 訪客

    中了vbs/Ramnit. abcd病毒和TR/Crypt. Xpack. AB.!1和PUA/iLivid. iona怎麼辦。現在exe檔快死光了

  325. changyang319

    建議重灌系統了。

Leave a Reply

Powered by WordPress & Theme by Anders Norén