摘要:眼睛掃毒、手動刪毒 Part1
常常有網友詢問我,使用什麼防毒或掃毒軟體,我大多回答:「使用眼睛掃毒」,那萬一中毒時要怎麼辦?其實,不要亂執行下載的軟體或破解、序號產生器, EMail 附件不要亂開,幾乎是不會中毒的,當然,如果是 Windows 自開後門被入侵,那就沒辦法啦。
在接下來的兩篇文章中,我將介紹一下,我是如何用眼睛掃毒的,以及萬一真的中毒時,要如何處理,如何手動刪毒。限於「眼力」及工具,所介紹的方式只能用在 「非檔案感染型」的病毒,也就是病毒本身是一個獨立的執行檔(.exe 或 .dll),對於檔案感染型的病毒,請自求多福。
□ 使用工具:
Sysinternals
出品的
- AutoRuns
- Process Explorer
□ 基本用法 – 解決「執行檔型」的病毒
對於一般好處理的 Ad-ware 或是木馬病毒,會以執行檔的方式單獨執行,而為了在系統一啟動就載入,在自動啟動區就會留下設定,同時也會存在現有的記憶體中,此時,利用AutoRuns及Process Explorer就可以簡單地手動移除。
- AutoRuns
在列出自動啟動的項目內,找尋沒有 Description/Publisher 的可疑項目,再確認一下 Image Path 所記的路徑及檔名是否詭異,如果不能確認檔名是否詭異,可以在項目上按滑鼠右鍵,在選單中選 Search Online,上網找找看是否有此檔案的相關資料,如果真的與病毒有關,則取前項目的勾選,下次重開機就不會載入它了。
除了病毒外,一般的軟體也可能會占用啟動區,同樣,如果不希望它們自動啟動,也可以用 AutoRuns 取消他們自動啟動的機制,等有需要再自行手動啟動,或是再用AutoRuns啟用他們自動啟動的機制。 - Process Explorer
比工作管理員最大好用的地方是列出了執行程序的路徑(Path),看看列出的執行程序是否有可疑的程式,看看路徑檔名是否詭異,如果不能確認檔名是否詭 異,可以在項目上按滑鼠右鍵,在選單中選 Search Online,上網找找看是否有此檔案的相關資料,如果真的與病毒有關,記下檔案路徑,按 Del 卸載程序,到該檔案路徑去把檔案先重新命名(萬一誤判,還有機會挽回)。
檔案如果可以成功重新命名或刪除,表示該檔案已不再執行,有時,會無法刪除或是重新命名,這時,就要看看是否還有其他的分身,要將可疑的分身也都由 Process Explorer 中刪除,才可以把真正的檔案刪除。比較麻煩的病毒,可能會無法刪除或重新命名,這時,就要參考 Part2 的作法了。
對於確認或可疑的程式,也可以到AutoRuns中去解除它自動啟動,以利下次重開機再刪除或測試是否已清毒完畢。
Process Explorer 預設是沒有 Image Path 的,請到 View -> Select Columns 勾選 Process Image 的 Image Path,就可以看到執行檔的路徑了。
□ 基本用法 – 解決「瀏覽器 Plugins型」的病毒
使用瀏覽器不小心可能會誤下載/安裝 Plugins型病毒,這類病毒是每次IE啟動時,就會隨著IE載入,它會好心地幫您連到色情網站或是OOXX網站,比較煩的是,開太多了,關都關不掉,或是一關掉又再幫您連上。
對於這種瀏覽器 Plugins可以用AutoRuns簡單的去除。
在 AutoRuns中,選到Internet Explorer的頁簽,找尋沒有 Description/Publisher 的可疑項目,再確認一下 Image Path 所記的路徑及檔名是否詭異,如果不能確認檔名是否詭異,可以在項目上按滑鼠右鍵,在選單中選 Search Online,上網找找看是否有此檔案的相關資料,如果真的與病毒有關,則取前項目的勾選,這樣開啟IE時,它就不會載入了,也自然不會發作。
除了病毒外,一般的IE Plugins也可以用相同的方式暫時或永久禁用它。