在system32下面，我要怎麼知道它是不是惡意程式？

Question

system32目錄裡面常常會有一些惡意程式混在一起。

我要怎麼知道某一個程式是不是惡意程式？

用掃毒不一定被掃得出來。

有沒有什麼好的方法知道某一個程式是不是惡意程式？

除了遊戲檔之外…

我的電腦沒有你說的五個程式，有沒有什麼好的方法可以找出惡意程式？

Answer 1

回 答：

用 【卡 巴 斯 基 】 掃 出 來 的 這 些 感 染 檔 是 可 以 刪 除 的 唷！

一 般 來 說，只 要 是 中 了 病 毒 的 檔 案，你 只 能 選 擇 兩 種 方 式 來 處 理 ！

一 是 隔 離，二 是 刪 除！

想 要 只 清 病 毒 而 不 刪 除 到 檔 案 本 身 的 成 功 機 率 很 少！

使 用 防 毒 軟 體 ( 隔 離 病 毒 ) 也 只 是 治 標 不 治 本 的 辦 法！

因 此，
建 議 你 還 是 趕 緊 把 中 了 病 毒 的 檔 案 給 刪 了 比 較 好 唷！

如 果 用【卡 巴 斯 基 】殺 不 掉 病 毒 ，

就 試 試 我 提 供 給 你 的 下 列 方 法 吧！

★ 說 明︰

病 毒、間 碟 程 式 或 其 他 網 路 威 脅 無 法 被 刪 除，
是 因 為 【 病 毒 檔 】會 和 你 的 電 腦 【 系 統 檔 】 連 結，
當 你 啟 動 電 腦 時，
病 毒 檔 就 會 跟 著【 系 統 檔 案 】連 結 運 作。
掃 毒 或 防 毒 軟 體 對 於 運 作 中 的 檔 案 是 無 法 刪 除 的！
尤 其 是 系 統 中 的 .dll 或 .exe

因 此，如 果 想 要 刪 除 病 毒，就 必 須 先 解 除 病 毒 與 電 腦 系 統 檔 的 連 結！

★ Unlocker － 解 除 佔 用 檔 案 又 無 法 刪 除 的 程 式 ★

下 載︰
http://home.kimo.com.tw/veronica_20060322/Aa_00001index.html

★ 使 用 程 序 說 明︰

01︰利 用【 掃 毒 軟 體 】找 到 病 毒 的 所 在 位 置。

02︰ 找 到 病 毒 後，對 著 病 毒 檔 案 【 按 下 右 鍵 】，此 時 會 出 現 【 對 話 方 塊 】選 單。

03︰在 選 單 中 選 取【 Unlocker 】，此 時 【 Unlocker 】會 出 現 【 對 話 方 塊 】選 單。

04︰在 Unlocker 的 選 單 中 選 取【 全 部 解 鎖 】。

05︰解 鎖 的 動 作 完 成 。


當 你 完 成 上 述 的 【 解 除 連 結 】步 驟 後，
接 著 就 是【 刪 除 病 毒 】了 唷 ！

★ Pocket KillBox：幫 你 砍 掉 惱 人 難 刪 的 檔 案 ★

下 載︰
http://home.kimo.com.tw/veronica_20060322/Aa_00002index.html
( 軟 體 語 系：英 文 )

相 信 不 少 朋 友 都 曾 遇 過 某 些 檔 案 怎 麼 砍 也 砍 不 掉 的 狀 況，

尤 其 是 中 了 病 毒 或 木 馬 的 檔 案 最 容 易 有 這 種 情 形，

在 束 手 無 策 的 當 下 真 的 會 讓 人 急 瘋 ！

別 怕，
只 要 有 了 Pocket KillBox，你 就 可 以 輕 輕 鬆 鬆 的 刪 掉 這 些 檔 案 了！


★ 使 用 程 序 說 明︰

雖 然 本 軟 體 為 【 英 文 語 系】，但 是 它 的 操 作 介 面 十 分 的 具 有 親 和 力！

只 要 把 檔 案 位 置 寫 在 Pocket KillBox 裡 的 長 方 形 空 白 處，
或 是 複 製 檔 案 位 置，直 接 貼 上 也 可 以！

然 後 再 按 下 右 邊 【 圓 形 紅 色 】的 X 圖 形 ，
接 下 來 就 會 出 現 中 文 的 對 話 方 塊，
然 後 照 著 他 的 對 話 方 塊 指 示 操 作 即 可！

以 上 軟 體 是 互 輔 性 軟 體，
搭 配【 防 毒 軟 體 】使 用，
無 往 不 利；所 向 無 敵！


★★★ 如 果 覺 得〔文 字 解 說 〕看 不 太 懂！★★

沒 關 係！

煩 請 進 入 下 列 網 址，並 按 照 網 頁 裡 的 ( 圖 解 ) 步 驟 操 作！

http://home.kimo.com.tw/veronica_20060322/Yahoo_knowledge/Complex/001/How_001index.html

網 頁 裡 的 教 學，
會 從 頭 到 尾 的 教 導 你 如 何 找 到 病 毒，
如 何 將 病 毒 連 根 拔 除 永 絕 後 患！

你 只 需 一 步 一 步 的 按 照 圖 片 說 明 操 作 就 可 以 了 唷！

Answer 2

通常惡意程式就是會讓你的電腦產生問題的程式 , 所以要先看看你的電腦是否有問題.

有異常的port或流量:使用工具去檢查 , 是什麼程式在開啟這些port,連線到哪裡,傳送什麼資料.

如果是異常的程式,那就直接刪除啊,若是正常的程式,再檢查是否有dll injection.

若上述都OK,基本上電腦就沒什麼問題了.

Answer 3

1 惡 意 病 毒 ： hookit 『 鍵 盤 側 錄 程 式 』
視 窗 左 下 --> 按 開 始 --> 按 尋 找 --> 選 檔 案 或 資 料 夾 --> 名 稱 輸 入 hookit
查 詢 那 邊 先 找 C 槽 然 後 d . e . f ( 看 你 有 幾 個 都 要 找 一 次 ),
然 後 按 立 即 搜 尋 讓 它 搜 尋 一 下, 如 有 找 到 此 檔,
代 表 你 的 電 腦 內 有 『 鍵 盤 側 錄 程 式 』 。
處 理 方 式 ：
對 著 他 點 一 下, 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。
2 惡 意 程 式 ： smcsvr 『 木 馬 程 式 』
視 窗 左 下 --> 按 開 始 --> 按 尋 找 --> 選 檔 案 或 資 料 夾 --> 名 稱 輸 入 smcsvr
如 有 找 到 此 檔 則 代 表 您 中 了 『 木 馬 』， 找 到 smcsvr 按 Delete 是 無 法 刪 除 的,
因 為 它 會 說 他 正 在 執 行 。
處 理 方 式 ：
開 始 --> 執 行 --> 輸 入 msconfig --> 按 確 定 --> 選 擇 最 右 邊 的
『 啟 動 』 --> 把 SMCsvr.exe ( 有 時 候 有 好 幾 個 ) 打 勾 取 消
( 然 後 先 不 要 按 確 定 或 是 套 用 ),
到 視 窗 左 下 --> 按 開 始 --> 按 尋 找 --> 選 檔 案 或 資 料 夾 --> 名 稱 輸 入 smcsvr --> 然 後 搜 尋 smcsvr 找 到 後 把 它 刪 除, 需 重 新 開 機 。
3 惡 意 程 式 ： peep
此 為 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。
用 同 樣 步 驟 把 換 成 poop 再 搜 尋 一 次, 通 常 會 存 放 在 c:\winnt\system32 目 錄 之 下 。
處 理 方 式 ：
找 到 的 檔 案 不 在 正 常 目 錄 下 的 都 按 Delete 刪 除 掉, ( 正 常 之 explorer.exe
是 存 放 在 c:\winnt 之 目 錄 之 下 ), peep.exe 木 馬 程 式 則 用 做 遠 端 遙 控 並 可
傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。
4 惡 意 程 式 ： service
於 網 路 連 線 後 以 T C P 方 式 連 線 至 跳 版 主 機 之 5 3 port, 一 般 5 3 port 為 D N S 之 用 。
用 同 樣 步 驟 把 換 成 service 再 搜 尋 一 次, 常 之 系 統 檔 為 services.exe,
存 放 於 c:\winnt\system32 目 錄 之 下, 若 電 腦 有 service 或 非 位 於 c:\winnt\system32 目 錄 下,
檔 案 則 可 能 受 到 感 染 。
處 理 方 式 ：
把 不 在 正 常 目 錄 下 的 檔 案, 對 著 他 點 一 下, 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。
5 惡 意 程 式 ： iexplore
該 程 式 改 編 自 知 名 偷 密 碼 程 式 之 passwordspy , Backdoor.PowerSpider 及 PWSteal.Netsnake,
為 知 名 收 集 密 碼 資 訊 程 式 的 變 種,
會 蒐 集 受 害 者 所 輸 入 的 帳 號 密 碼 後 以 電 子 郵 件 方 式 傳 送 至 中 國 大 陸 的 某 個 郵 件 主 機 。
用 同 樣 步 驟 把 換 成 iexplore 再 搜 尋 一 次,
iexplore.exe 被 置 於 c:\windows\system32 目 錄 中 ( 正 常 位 於 c:\programFiles\InternetExplorer )
處 理 方 式 ：
把 不 在 正 常 目 錄 下 的 檔 案, 對 著 他 點 一 下, 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。