前言:最近病毒越來越多,防毒軟體趨近於功能完整,但是遇到一些特別新的病毒時,防毒軟體偵測到卻沒辦法移除時候,這時候就要手動殺毒!還有一些不是病毒,是惡意的廣告後門程式,會常駐載妳的系統中,讓妳的系統會拖越慢,但是防毒軟體會忽略他們,因為他們只會拖慢系統,因此有時候會忽略他們,現在網路越來越快,防毒軟體沒有辦法的時候,就是你自立自強的時候了!
狀況說明:為何沒有辦法移除病毒?很多防毒軟體當偵測到病毒的時候,通常第一步就是直接移除檔案,但是只要病毒已經再執行時(常駐記憶體),就會出現類似"無法立刻移除病毒"的訊息,真是氣死人,沒辦法移除是怎樣。沒關係,以下就為各位說明如何手動移除病毒或是惡意程式。
使用工具清單:Windows工作管理員 基本察看記憶體程式的地方
msconfig 系統組態編輯程式
Process Explorer 抓出記憶體程式並關閉(放在附件中)
regedit 登陸檔編輯程式
教學:
第一步:認清你的病毒在防毒軟體出現病毒警訊時,先記錄下病毒名稱,接著按
[Ctrl]+[Alt]+[DEL]叫出windows 工作管理員,在
[處理程序]標籤頁中,可以看到目前記憶體所有的exe執行檔,看一下是否病毒有在裡面,如果有,就手動關閉處理程序吧!
這邊工作管理員只能顯示出exe檔案而已,
一些比較狡詐的病毒會偽裝成 dll 或是 其他類型檔案,讓妳無法在這邊找到,沒關係,看下去!
第二步:使用Process Explorer關閉執行中非exe的惡意程式和病毒一些病毒其實很多時候並不是以exe執行檔為原貌,而是以dll 動態連接檔方式並且寄生的其他系統的程式裡面(Ex: explorer.exe),所以這時候M$的工作管理員就沒輒了。現在介紹一套我自己常常用的進階版記憶體觀看程式:
Process Explorer啟動之後,可能會出現一個警告訊息,別理他按確定就可以出現程式主畫面,這一套程式會以樹狀關係來排列成是與成是之間的關係。先別被眼前混亂的程式嚇到,我們利用find指令來收尋病毒所在位置,我以asp.dll當例子,輸入asp.dll收尋(
注意:我只是舉例,asp.dll本身不是病毒喔)
注意:find指令有兩種,一種是
find handle ,另一種是find dll ,前者為搜尋以執行檔的處理程序,後者為dll動態連接檔,建議採用前者,因為前者也可以搜尋dll檔案
嘿嘿==+發現你的藏身位置了喔,點一下收尋的結果就可以跳到主視窗並且選取該檔案,這裡注意一下,
當妳找到以dll檔案時,應該會看到dll的父程序,像asp.dll的父程序就是dllhost.exe,妳應該要知道的,是asp.dll是病毒檔,他卻是依附在系統內建的程式dllhost.exe之下,本身無病毒的dllhost.exe被有病毒的asp.dll附身,這就是寄生。看到敵人,先別急著關掉,
妳要記錄的是病毒檔案所在路徑,例如這邊所在路徑就是C:\WINDOWS\system32\inetsrv\asp.dll ,接著利用右鍵選單按下[close handle],又會出現一個警告視窗,按確定即可!這樣就可以關閉在執行中的dll或是exe檔案了!
第三步:斬草除根到這裡我們已經關掉病毒程序,不管是exe或是藏在系統程序底下的dll都可以一一把他揪出來,關閉的動作是為了讓我們能夠執行[刪除]的動作,之前有提到,防毒軟體找到病毒卻無法移除的原因是因為他常駐在記憶體裡面所以要執行刪除卻是無法執行。
好了,最後一步就是斬草除根了!找出剛剛抄下病毒所在位置直接去資料夾裡面,先點一下選檔案(不要點到兩下喔~不然要是exe檔案前面功夫又白作了),小心翼翼按下
[Shift]+[Delete]組合鍵來移除病毒,這組合鍵和只按[Delete]最大不同是徹底移除而不是丟資源回收桶喔!
接著,病毒一開機都會常駐,顯然他寫入了啟動程序,這裡我使用
系統組態編輯程式,[開始]>[執行]>輸入[msconfig]>[確定],開啟之後,選到
[啟動]標籤,這裡放置開機啟動資訊,找到你中毒的檔案把前面得打勾取消即可!
再看看
[服務]標籤,把隱藏所有Microsoft的服務打勾,看看有沒有病毒,有的話就可以取消開機執行。
最後一步,使用登陸編輯程式把相關機碼移除
。[開始]>[執行]>輸入[regedit],啟動登陸編輯程式,接著圖片找出相關登陸機碼
找到之後
右鍵選單刪除機碼,再按[找下一個]直到全部登陸檔收尋完畢!
接著重開機看看,應該就不會出現病毒訊息了!大功告成!恭喜你,手動病毒移除成功了!
以上是小弟對付病毒的經驗談。預防中毒的方法,還是要靠使用者定期做好防毒軟體定義檔更新,並且定期全系統掃瞄,才有實質效果喔!希望大家看完之後回個文吧!小弟感激不盡阿