2007年3月27日星期二

廣告病毒,找我就對了

系統作法:
請更新好病毒碼與XP後做以下處理:
注意:並非所有的病毒都是屬於可清除的病毒。
(1) 清除暫存檔案 : 系統Temp資料夾或IE暫存夾中可能因系統正使用而無法清除有毒檔,請依下列步驟清理暫存以利刪除病毒檔案。清理暫存並不會影響電腦內正常資料。
a. 開啟IE瀏覽器=>工具(T) =>網際網路選項(O) =>一般,在中間『刪除檔案(F)』=>勾選『刪除所有離線內容』
然後按確定。
b. 左下角開始=>所有程式-程式集(P)=>附屬應用程式=>系統工具=>清理磁碟=>將所有磁碟不需要資料清除。
如無法清除請至「安全模式」清空暫存檔與掃刪病毒木馬檔案
(2) 關閉XP系統還原:病毒會藏在這邊,殺毒後又隨系統還原出現
左下角開始=>所有程式-程式集(P)=>附屬應用程式=>系統工具=>左邊系統還原設定=>關閉所有磁碟上得系統還原。
(2) 重開機在安全模式下掃毒 : 因正在執行的程式,導致無法刪除或隔離,在重開機時不斷按F8選擇安全模式下做清空暫存檔與掃刪病毒木馬檔案等動作。






軟體用法:
方法一:

軟體介紹:
[SpyRemover v2.65 免安裝版] ----- 強力推薦
SpyRemover 是一個可以專門為清除悄悄安裝在你的電腦裏的間諜程式而設計的一個電腦網路安全工具。它可以幫助你快速的在系統元件中搜索已知的間諜程式的蹤跡,並可以幫助你安全的清除他重新全面保護你的網路安全
下載試用: http://soft1.riyou.com/cr_SpyRemover.rar先執行註冊後再掃毒


[Spyware Doctor] ----- 推薦—要註冊碼

軟體介紹:http://www.pctools.com/zh/spyware-doctor/Spyware Doctor 的先進更新功能可供每日不斷地提高對間諜軟體的防護能力。當間諜軟體試圖避開其他反間諜程式的偵測時,Spyware Doctor 的回應技術可以領先一步發現間諜軟體隱藏的有害威脅。最佳的間諜軟體防護程式。擁有全球數百萬用戶 Spyware Doctor 的下載次數已超過 5 千萬次,每週的下載次數超過百萬。它持續地保護全球數以百萬消費者的身份資訊與 PC 安全。

下載試用:http://www.pctools.com/downloads/sdstart.exe

[Spybot - Search & Destroy 1.4] 免費軟體軟體介紹:SpyBot Search & Destroy 具有「間諜軟體(Spyware)」擒殺功能,就算是再難纏的對手在它的也無所遁形,可以將隱藏在系統登錄檔中「刪之不去」的間諜軟體揪出,另搭配有詳盡的說明,讓你對各式的間諜軟體有更進一步的認識。


方法二:

EWIDO在線查殺木馬(號稱最好的線上查木馬間諜)(英文版)
http://www.ewido.net/en/onlinescan/
選安裝ActiveX ==> 安裝好 ==> 按"Start Scan" ==> 開始掃描 ==> 完畢按 "Remove Infections" 清除感染 ==> 確定

方法三:
使用超級兔子魔法設定(繁體共享版)

對付大陸的廣告與木馬最有效安裝時,只要把『設定IE首頁為gotoya』打勾取消,首頁就不會被改
A. 下載好執行超級兔子。
B. 點選超級兔子IE修復專家。
C. 按照步驟掃毒即可清除病毒
共享版下載點:http://www.softking.com.tw/soft/download.asp?fid3=10515


***即時通問題與解決***
***1.即時通病毒專殺
免費專殺Yahoo即時通scr木馬病毒 快速清除即時通木馬SCR病毒,再也不用擔心帳號密碼被盜用亂發訊息SCO炸彈 (Worm.Novarg) 病毒清除工具RavNovarg (免安裝版) [下載一] [下載二]
下載後執行然後點scan就可以開始幫你搞定即時通病毒
圖解說明: http://tinyurl.com/ejwaw
最後一招:手動清除方法我提供手動清除的方法,但是我不能保證絕對可以清除,因為病毒不是只有一個版本,提出手動清除只是應急,並給你一個解決問題時的思考方向。若清除後一切正常,務必儘快安裝防毒軟體並配合最新病毒定義掃毒, 以策安全。

注意:以下所提到的機碼或數值,不一定都可以在你的電腦中找到,因為如果你的某部分沒有被竄改,某些機碼或數值當然就不會有。在做動作之前,務必確認你已經:關閉所有 IE 視窗,若有廣告視窗無法關閉,請先拔掉網路線或斷線。 按「開始」>>到「執行」,輸入 regedit(按 enter),到:

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

在 Start Page 上按右鍵,選修改,原內容刪除,改輸入about:blank,按確定。(或是不輸入內容也行)

HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain

檢查 Windows Title 內的值是否為廣告字串,若是,則刪除整個 Windows

TitleHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp

檢查右邊是否有一個數值為"NoRealMode",若有,則刪除,或把 WinOldApp 整個刪掉(這是不需要的) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 刪除 START PAGE,同時檢查是否其他也有可疑網廣告址的項目,在(預設)上按滑鼠右鍵選刪除。("預設" 這裡的值應該出現的是"值尚未設定")

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

刪除整個 WinlogonHKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMain 在 Start Page 上按右鍵,選修改,刪除原網址,改輸入about:blank,按確定。(或是刪除後不輸入內容也行)

HKEY_USERS.DEFAULTSoftwareMicrosoftCurrentVersionRun START PAGE整個刪除(或其他有可疑網廣告址的項目)。接著,在"(預設)"上按滑鼠右鍵選刪除。("預設" 這裡的值應該出現的是"值尚未設定")再到:

HKEY_CURRENT_USERSoftwarePoliciesMicrosoft 在 Internet Explorer 這個資料夾上按滑鼠右鍵選刪除(即整個 Internet Explorer 與其中包含的所有設定都刪除),以解決 Internet 選項變灰色,按鈕無法按的問題。HKEY_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRun

檢查是否有廣告網址,因病毒而異,有些廣告病毒並不會寫到這裡,若有則刪除該網址字串(新手請注意,不要誤把 Run 資料夾整個刪除)關閉 regedit,此時不要打開 Internet Explorer,否則它又去連那個有毒網站,又會被修改,剛剛做的就白做了。繼續:按「開始」>>到「控制台」>>「網際網路選項」,在「一般」這頁,按「使用空白頁」。再在 Temporary Internet files 按「刪除檔案」(勾刪除所有離線內容),按確定。再到「記錄(History)」按清除紀錄。重新啟動電腦。至於桌面、開始功能表、快速啟動列裡面殘留的廣告 URL 項目,自己動手刪除就行了。




























病毒介紹:
這個木馬程式有些是隱藏檔 官方的掃駭程式.PC.鐵賽.諾頓.都是掃不出來的。

1.惡意病毒:hookit『鍵盤側錄程式』 視窗左下→按開始→按尋找→選檔案或資料夾→名稱輸入hookit →查詢那邊先找c槽然後d.e.f(看你有幾個都要找一次) →然後按立即搜尋讓它搜尋一下, 如有找到此檔,代表你的電腦內有『鍵盤側錄程式』, ●處理方式:對著他點一下,然後按一下Delete那顆把它刪掉。

2.惡意程式:smcsvr『木馬程式』 用同樣步驟把hookit換成smcsvr再搜尋一次, 如有找到此檔,則代表您中了『木馬』。 找到smcsvr按Delete是無法刪除的,因為它會說他正在執行。 ●處理方式:開始→執行→輸入msconfig→按確定→選擇最右邊的『啟動』→ 把SMCsvr.exe(有時候有好幾個)打勾取消(然後先不要按確定或是套用), 到視窗左下→按開始→按尋找→選檔案或資料夾→名稱輸入smcsvr→ 然後搜尋smcsvr找到後把它刪除,需重新開機。

3.惡意程式—peep 此為木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。 用同樣步驟把換成poop再搜尋一次, 通常會存放在c:\winnt\system32目錄之下, ●處理方式:找到的檔案不在正常目錄下的都按Delete刪除掉, (正常之explorer.exe是存放在c:\winnt之目錄之下), peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。

4.惡意程式—service 於網路連線後以TCP方式連線至跳版主機之53port,一般53port為DNS之用 用同樣步驟把換成service再搜尋一次, 正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下, 若電腦有service或非位於c:\winnt\system32目錄下,檔案則可能受到感染。 ●處理方式:把不在正常目錄下的檔案,對著他點一下,然後按一下Delete那顆把它刪掉。

5.惡意程式—iexplore 該程式改編自知名偷密碼程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake, 為知名收集密碼資訊程式的變種, 會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。 用同樣步驟把換成iexplore再搜尋一次, iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\program Files\Internet Explorer) ●處理方式:把不在正常目錄下的檔案,對著他點一下,然後按一下Delete那顆把它刪掉。 《特別注意》: 其他異常程式: 包括exec3.exe、r_server.exe、hiderun.exe、 gatec.exe、gates.exe、gatew.exe、nc1.exe、 radmin.exe、hbulot.exe 等已知檔名之惡意程式,另需人工檢核是否有異常程式, 如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案, 及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案『則為駭客工具檔案』, 以上檔案通常存放於c:\winnt\system32目錄之下。

還不行的話重灌吧...........---最後絕招

0 意見: