close

與電腦病毒無緣 分類:科學與技術2008/02/25 12:28

前文恕刪,以下為  regedit高級用法,使用前建議先""匯出""reg登錄檔備份!!

◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇

 大家最好裝防毒軟體,只是道高一尺、魔高一丈,正邪戰爭永遠沒完沒了。如果有裝防毒軟體,或許不需瞭解太多。但是如果不放心,或像我一樣沒有裝防毒軟體,能夠懂得一點知識,平常小心點,不要隨便執行不明程式,中毒的機會也不大。

大家通稱的電腦病毒,大致上可分為三類:病毒、蠕蟲、木馬

第一類的傳統病毒,已經不流行了,因為不像蠕 蟲和木馬會主動出擊,而是被動等待執行才能發作。這種病毒通常依附在執行檔上,必須執行才能感染其他執行檔程式。所以,如果電腦有檔案中病毒,只要不去執 行它,也不散播出去,大家就相安無事,不會危害自己與別人。而且新的電腦作業系統,都已經有一套自我保護機制,比以前好多了。

蠕蟲和木馬可不相同,為了能夠主動出擊 掌控電腦,必須想法子在電腦一開機時,就讓自己就被執行啟動,或是藉由IE瀏覽器等來執行,否則就無法作怪。

所以,只要在電腦開機的時候,不去執行這些病毒程式,大部分的蠕蟲和木馬就無法搞破壞。

Windows啟動後,會去看個地方,只要在那裡有登記的的程式,都會被執行。這些蠕蟲和木馬,都會想辦法在那裡登記,讓自己一開機就被執行,這樣病毒就已經附身成功啦。

建議大家可以用regedit工具程式去看看(後面有解釋),了解一下自己電腦有多少應用程式一開機就會被啟動。隨時注意有沒有忽然間增加什麼奇怪陌生的程式在裡頭。如果確定是病毒,直接刪除即可。

您問:最古早這些病毒如何上身的?絕大部分,是因為不小心執行了惡意程式,他們通常隱身在e-mail的附加檔。如果您收到怪怪的e-mail,無論是從多好的朋友寄來,都不要隨便打開它的附加檔,否則,就換您寄出這些怪怪的信囉。

另一個來源,則是某些惡意網站,會要求您下載安裝一種Active-X的東東。如果您沒有把握,千萬別隨便安裝。

注意以上這幾件事,大概您也與電腦病毒無緣了!

 

◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇

 

查看一開機就會被啟動的應用程式:

1. 按螢幕左下開始,選取執行然後按下滑鼠左鍵

2. 在開始執行的視窗內,鍵入 regedit。然後按確定,執行這個工具。

3. 工具畫面裡,依照下面的路徑找到以下的

KEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

4. 可以看到右邊就是,一開機就會被啟動的應用程式資訊

5. 再找以下路徑

KEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run

6. 同樣可以看到右邊也是,一開機就會被啟動的應用程式資訊

 

7 這些程式的名稱與執行檔,有些一看就知道不太可能是病毒程式,多半是大家安裝的應用軟體,例如:iTune、晶片讀卡機程式…..,有些不確定的程式,可以用google到網路上搜尋,看看是不是被認定為病毒程式。

8. 如果發現了病毒程式,建議到國家資通安全會報技術服務中心http://www.icst.org.tw/index.php,查看各種病毒的解決方法。基本上先暫時關閉系統還原功能,刪除登錄資料及刪除病毒檔案,就大功告成了!

9. 除了上面兩個路徑,較多病毒使用外,以下路徑也可能會被用到

KEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunOnce

KEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunOnceEx

KEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\RunOnce

HKEY_USERS\S-(一堆不同的數字)\Software\Microsoft\Windows NT \CurrentVersion\Windows\Run="xxx"

 

PS. 當然,並非所有的病毒,都可以用以上方法發現,大家還是小心為上

 

◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇

 

以下傳說的方法,經苦主大同寶寶現身說法,證明無效!

在姓氏(L)輸入: !

在名字(F)輸入: Auto Sending Stop

其它欄位不要輸入任何文字並按下確定

在您的通訊錄中就會多了一個 ! Auto Sending Stop 的聯絡人

如此一來就可以阻斷自動散發病毒郵件的問題。

原理:

因為通訊錄是依姓名作排序,

依據這個原理,「!」會排在第一個,

∴當病毒要自動轉發送給通訊錄名單時,

碰到第一個通訊錄卻無mail address時,

便會出現錯誤而停止其他通訊錄的發送,

進而達到保護你其他通訊錄中的朋友遭受病毒的散發

註:病毒程式也會進步的,也許以前騙得了,現在就無效啦!

 

◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇

regedit看到的例子:

以下是從一台老IBM Notebook抓到的資料,後面是用google到網路搜尋,通常都可以找到相關資訊,看起來是完全正常。

要注意的是,不要隨便刪除,除非可以確定是病毒(包括國家資通安全會報技術服務中心裡頭也找到說明)

[KEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run]

其中MSN的預先程式,可以去MSN選項中關掉開機時啟動功能,會發現這行就消失了

ctfmon.exe  ctfmon.exe    Office XP的輸入法

MSMSGS  msmsgs.exe    MSN Messenger Internet chat tool

[KEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run]

Ati2mdxx.exe   ati2mdxx.exeATI Redeon顯卡硬件驅動相關程序

atiptaxx.exe   ATIPtaxx.exeATI顯示卡驅動的一部分

IMEKRMIG.EXE   Microsoft Office Alternative Alphabet Input Module

IMJPMIG8.1     Microsoft Input Method Editor

LTWinModem1    WinModem series

MSPY2002       mspy2002為微軟拼音2002,也是輸入法

PHIME2002A     微軟拼音輸入法的相關程序

PHIME2002ASync 微軟拼音輸入法的相關程序

QCTRAY          traybar process for IBM ThinkPad laptops

QuickTime Task  QuickTime播映

SunJavaUpdateSched  java自動更新

TP4EX          IBM TrackPoint

TPHOTKEY       Activates "ThinkPad Help"    

TPTRAY         process info for Toshiba Laptops

BePCSC         我猜與PCSC讀卡機有關

 

◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇

 

以下例子是從國家資訊安全中心找出的。如果您看到檔案名稱,有以下的字眼出現,大概就中毒了!

大量寄發電子郵件的

  W32.Barten蠕蟲   "MicrosoftUpdate" = "%UserProfile%\rmsm.exe"

  W32.Degnax蠕蟲  "Help" = "%Windir%\userinit.exe"

  Trojan.Ozdok木馬

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\

開啟後門的

  Trojan.Daymay木馬  "wmupdate" = "%Windir%\wmupdate.exe"

  W32.Mdmbot蠕蟲   "mdm.exe"

竊取機敏資訊的

  Trojan.Gtaskup木馬   "wTask" = "C:\WINDOWS\Media\GTaskup.exe"

  W32.Spybot.AVEN蠕蟲  "YahooServices" ="57 00 49 ... 00"

鍵盤側錄的

  Infostealer.Keyhabt木馬   "winstart" = %System%\winstart.exe

透過Yahoo即時通散播的

  W32.Imaut.CN蠕蟲 "Yahoo Messengger" = "%System%\regsvr.exe"

下載惡意程式的

  W32.Joydotto蠕蟲    "SmartTag Recognizer" = "%System%\strecog.exe"

 ◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇

如果各種方法都試過,仍然無效,就只好重灌Windows囉!


==================

wei6432 2009-3-5 08:45 AM

C:\Program Files\EmvSmartCardReader\SmartMON.exe <---已確認是病毒
C:\Program Files\EmvSmartCardReader\BePCSC.exe

這2個應該是讀卡機的程式
Autorun.inf
[C:\]
[AutoRun]
;il4eAe4slk0l57caL9adjiXdSS25js7foaOrj5Ls7qss2KUSKsiqa89k529wowdl35waklJkHJiiiJ3
open=9b8kmipy.com
;Aw2wrKlkpldwUsloipaa5a4klp2wof1skwL5wwd
shell\open\Command=9b8kmipy.com

這部份要處理,找到9b8kmipy.com然後刪除
如果有系統還原,請將它關掉
建議你去下載卡巴斯基試用版,安裝完後更新病毒碼然後做全部掃毒一次

=========================
微風論壇 » 資訊安全防火牆與防堵不法入侵 » 病毒防治 » 朋友電腦中毒(有報表

http://wefong.com/bbs/archiver/?tid-1937429.html

C:\Program Files\EmvSmartCardReader\SmartMON.exe <---已確認是病毒(可直接刪除)
C:\Program Files\EmvSmartCardReader\BePCSC.exe <---已確認是病毒(可直接刪除)
C:\WINDOWS\system32\gemstrmw.exe <---已確認是木馬(可直接刪除)
C:\WINDOWS\system32\userinit.exe <---可能被修改成木馬了(若電腦啟動時會出現windows系統不能正常登錄或輸入登錄用戶名...的問題那就是木馬了)(不可直接刪除)
C:\WINDOWS\system32\Bitkv1.dll <---已確認是木馬(可直接刪除)

sorry路徑打錯~~
開始 >> 控制台 >> 系統管理工具 >> 本機安全性原則 >> 本機原則 >> 使用者權限指派 >> 變更系統時間(找到這個東西)點2下
>> 請將「變更系統時間」內之使用者及群組全數移除後並按確定 (Administrators 和Power Users 移除)
>> 重新開機 >>把時間調至正確日期>> 請您將病毒碼更新至最新版本(!!!更新完後請拔除網路線!!!) >> 執行以下動作

接a項目

這樣才對
若找不到可能是控制台部份也毀損了(被病毒破壞~~)
先找找看吧
沒有再想辦法~

忘了問你同學的電腦系統是怎樣?
請回答下列問題

作業系統(EX:XP SP2) :
記憶體大小 :
防毒軟體/版本 :
硬碟容量(C:為主) :
以上越詳細越好~QQ

 

wei6432 2009-3-5 08:45 AM

C:\Program Files\EmvSmartCardReader\SmartMON.exe <---已確認是病毒
C:\Program Files\EmvSmartCardReader\BePCSC.exe

這2個應該是讀卡機的程式
Autorun.inf
[C:\]
[AutoRun]
;il4eAe4slk0l57caL9adjiXdSS25js7foaOrj5Ls7qss2KUSKsiqa89k529wowdl35waklJkHJiiiJ3
open=9b8kmipy.com
;Aw2wrKlkpldwUsloipaa5a4klp2wof1skwL5wwd
shell\open\Command=9b8kmipy.com

這部份要處理,找到9b8kmipy.com然後刪除
如果有系統還原,請將它關掉
建議你去下載卡巴斯基試用版,安裝完後更新病毒碼然後做全部掃毒一次

arrow
arrow
    全站熱搜

    右翼天使K 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄