[公告] 痞客豐年終!萬元禮券限量送~[公告] 第一屆痞客邦金點賞登場!2014年最有影響力的部落格即將揭曉[公告] 痞客邦新服務上線 每日星座運勢測算【得獎名單公佈】[公告] 痞客邦應用市集全新改版![公告] 痞客邦「應用市集」新 App 上架-iFontCloud Professional

您的一個「讚」,就能讓我高興一整天!
  • 發問前,請先看這篇文章「發問技巧」,但由於網友們詢問的問題實在太多了,回的較慢的話,還請見諒。
  • 在提出問題時,儘量將您現有的資訊提供給我,這樣我才方便提供您一些建議。
  • 最後,我並不是各家廠商的客服中心或是研發中心,所以並不保證一定能解決您的問題。
電腦重灌 還原鍵製作還原光碟WinXPWin 7(英文)Win7(中文)Windows 8重灌前準備驅動程式安裝更新Hotfix學習DOS檢查硬碟壞軌測試記憶體如何進入BIOS開機順序/電腦溫度安全模式
常見問題 Wi-Fi不能上網螢幕變黑喇叭沒有聲音麥克風沒有聲音主機風扇很吵主機自動斷電光碟機退不出來
選購經驗 筆記型電腦平板電腦桌上型電腦印表機分享器雙螢幕LCD液晶螢幕滑鼠UPS不斷電系統電視卡無線網卡MacBook Air平板VS筆電
辦公文書 Word必犯錯誤Word合併列印Excel樞紐分析表備份Outlook郵件FTP軟體操作Word打一半當機設定Outlook收Gmail
IP分享器 無線WiFi延伸(WDS)串接分享器另類分享器接法測Wi-Fi訊號頻道DDNS(D-Link)DDNS(No-IP)

在Ad-aware中,有些木馬病毒解不掉

  Ad-aware SE Personal是Lavasoft提供給個人免費使用的一套軟體,能「"被動」的解掉木馬病毒,為什麼說是「"被動」呢?就是等你中標了,再來治療的動作。別人免費讓我們使用,就別抱怨了。

  但是Ad-aware有時雖然可以抓的到木馬病毒,可是會因為病毒已經載入記憶體中了,所以沒有辦法將木馬病毒給終止結束掉,它會請你將電腦重新開機後,再次進入Windows後,就自動進行一次掃描,基本上如果Ad-aware比病毒還要早載入的話,木馬病毒多半是可以解掉的;但...要是病毒又先載入了呢?那就要自己D.I.Y.了。 

如何D.I.Y.清除木馬病毒

  清木馬病毒,我們從兩個方面來談,「已知」和「未知」,由防毒軟體或是Ad-aware查出來而清不掉的我們稱這種為「已知」;而「未知」就是防毒軟體和Ad-aware沒發覺到的。

  我們先從「未知」的先來談,防毒及Ad-aware都是要靠更新病毒定義檔,才有辦法找出最新的病毒。病毒定義檔就好似我們小時常接種的「疫苗」,如果你沒接種過疫苗,就會有生病的危險。所以如果沒有經常的更新病毒定義檔,或是碰到的木馬病毒太新、太稀少還沒被製作成病毒定義檔的,那你就會不知不覺的中毒。

  手動解毒的部份對於許多的沒有經驗的人可能有點複雜,請你一定要耐住性子慢慢的看到最後,這些東西很少人會講的那麼清楚明白,我都把我的解毒的技術完全寫出來了,你還不看?相信我學到就是你的,你也就不用一再的花錢請電腦公司解毒了。

 

尋找未知的木馬程式及電腦病毒

  一般我找這種未知的,第一步都是先從Windows開機時會載入的程式來找,也就是找「啟動」及各個「登錄表」的值。

「啟動」資料夾總共有二種:你可以從我的電腦中的本機磁碟C,一層一層的點進去。

  1. 第一種「啟動」資料夾是每個XP、2k使用者都會有一個,它的位置位於
    「C:\Documents and Settings\使用者名字\「開始」功能表\程式集\啟動 」
  2. 第二種「啟動」資料夾是全部使用者共用的,它位於
    「C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動」

第一種啟動資料夾和第二種比較,你可以很明顯看出差異性就是一個是你自己使用者的名字,另一個名字則叫All Users

 

  再來就是檢查系統登錄表,你可以在「開始功能表」裡的「執行」裡,輸入「regedit」,來開啟「登錄編輯程式」,

在執行輸入regedit

 

登錄編輯程式

 

而需要你去檢查的位置如以下介紹,請你一層一層的追下去:

  1. Run: 這裡是最重要的二個地方
  2. 首先是位於HKEY_LOCAL_MACHINE裡的Run,這裡的啟動程式是最多的,原因是這個地方是所有本機使用者共用的。路徑如下:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run

    登錄編輯程式

     

    再來是位於HKEY_CURRENT_USER裡的Run,這裡的項目很少,而且裡面的啟動程式資料會因為使用者個別的設定而有所不同,也就是說,如果這個地方有被安插木馬程式的話,你還必需要再登入到另一個使用者那邊去檢查一下這個位置有沒有安全。路徑如下:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run

    登錄編輯程式

     

    我整理了常見的「有問題」及「正常安全」的登錄值,在本文的最後面,這兩個清單會持續的維護。

  3. Userinit: 這也是相當的重要的一個地方,幾乎每個中毒的電腦這個地方都有問題。它的路徑如下:
  4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

    登錄編輯程式
    通常該登錄鍵下面有一個正常的值如下:
    【C:\WINDOWS\system32\userinit.exe,】

     

    但這個鍵允許指定用逗號分隔的多個程式,
    例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】

    所以你只要把逗號後面的所有文字全部刪除掉,只留下C:\WINDOWS\system32\userinit.exe,就好了。

     

  5. Load: 這個會有問題的情況會比較少一些,不過rundl132.exe這個木馬病毒通常都喜歡躲在這。
  6. HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows NT\CurrentVersion\Windows\load

    登錄編輯程式

    你只要檢查名稱load的那一行,確定資料欄位是空白的

     

  7. RunOnce :RunOnce、RunOnceEx、RunServices會出現狀況的機率就更少了(有些電腦甚至沒有這些鍵值如RunServices),一般正常的情況,這裡面只會有一個「(預設值) REG_SZ (數值未設定)」在裡面,除此之外,這裡面「不應該」被放置「任何的程式」如果有其它的程式在上面,全部殺掉。如下圖是一個正常的情況:
  8. 登錄編輯程式

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnce

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnceEx

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnce

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnceSetup

     

  9. RunServices
  10. HKEY_CURRENT_USER\SOFTWARE\Windows
    \CurrentVersion\RunServices

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServicesOnce

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServices

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServicesOnce

  

 

  對初學者來說,看這些登錄表的困難度,就是在什麼可以殺?什麼不可以殺?要是你胡亂殺了一堆東西,雖然當下沒有感覺到有什麼不一樣,可是一旦你重新開機,你就知道後果了。

  所以要學會怎麼看這個東西可以殺或是不能殺,是要靠經驗的。所以建議大家,拿起你的筆記本,看你要記在電腦裡還是記在紙上,將上述的這些需要注意的登錄表完整的抄下來,將來中毒時,就可以用來判斷有什麼東西多了出來,一般來說,多出來的那個東西就有可能是木馬程式或是電腦病毒,當然也有可能是你後來才安裝上來的程式軟體。

  要記些什麼東西?以我目前自己電腦為例,第1個Run裡的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 我會記下
第一筆 名稱 ctfmon.exe 數值資料 C:\WINDOWS\system32\ctfmon.exe
第一筆 名稱Yahoo! Pager數值資料 "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
以此類推。

一些基本常識

以下內容是很基本的常識,但是對一些初學者還是要簡單的說一下,雖然作業系統一直的演進,但是這兩個常識一直還是存在的。

路徑的常識:

  所謂的路徑就是 C:\WINDOWS\system32\ctfmon.exe,

  它可以分解成 「C: 」、「WINDOWS」 、「system32」及「ctfmon.exe」,代表的意思即是有一個檔案叫「ctfmon.exe」,它被放在「C: 」磁碟的「WINDOWS 」資料夾的「system32」資料夾內。

  由這個例子可以明白的看出每個資料夾都會隔著「\」斜線符號。

 

檔案的常識:

  接著同樣以上面的例子為例子,「ctfmon.exe」

  每一個檔案都有一個主檔名和一個副檔名組成,中間以一個「.」(點符號)隔開,主檔名代表這個檔案叫什麼名字,主要是給使用者做記憶用,而副檔名就比較重要了,它代表了這個檔案是什麼樣的一個檔案,如圖片檔、音樂檔...等等。

  早期DOS時代主檔名只有8位,副檔名為3位;而現在Windows時代,主檔名可以隨便取(當然不是要多長就多長,還是有限制的),副檔名雖然也可以取的很長,但是還是都以3個字為主。

一個解毒的示範 (2007.6.8補充)

  下圖為HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run的數值,以底下這個例子可以看到一個不尋常的地方,你看出來了嗎?

  唯一的問題出在第一個「(預設值)」,這個「名稱」的「資料」數值是空白,你可以看一下上面第一個Run的圖片。

 

  所以這個的解決方法就是用滑鼠左鍵雙點兩下「(預設值)」,然後會出現下面這個「編輯字串」視窗,你只要將「數值資料」裡的那串數值
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」給清除掉,然後再按「確定」就好了。

 

  接下來是Userinit這個位置,這個位置也是最常有病毒的地方,如下圖我抓下來的Init的截圖,這個截圖我有修改過,這是為了要完整個看到整個Userinit字串。

這個Userinit字串如下,「C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,」

這個Userinit有兩個部份,分別是userinit.exe及svchost.exe,根據上面的Userinit的說明可以知道,除了userinit.exe以外的東西都是病毒,所以你要將userinit.exe以外的東西都清除掉,你可以使用滑鼠左鍵雙點兩下「Userinit」這個位置,然後將數值資料改成這樣
C:\WINDOWS\system32\userinit.exe,」,然後再按「確定」就解決了。

 

當然重新開機之後,最好可以再去把這幾個病毒檔案給刪除掉,
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」及
「C:\Program Files\Windows Media Player\svchost.exe」。

 

Ps 1:特別注意到xiao.exe這個檔案的位置,這個位置經常會有病毒在這裡,因為它是Windows的暫存區,所以建議經常要去清理這個位置,較完整的路徑就像這樣 C:\Documents and Settings\EndUser\Local Settings\Temp。

Ps2:svchost.exe這個檔案的正確路徑是在C:\Windows\system32裡,如果它出現在其它位置就代表它是假貨,就像是這個例子一樣。

有問題的登錄值總整理

  只要你發現你的登錄值裡有符合以下任何一個值,直接刪除它就對了!

表格 1: 常見木馬病毒程式登錄值。
名稱 資料
cmdbcs C:\WINDOWS\SVCHOST.EXE
cmdbcs C:\WINDOWS\cmdbcs.exe
fzg C:\WINDOWS\Config\svhost32.exe
svchost C:\WINDOWS\system32\SVSH0ST.EXE
load C:\WINDOWS\uninstall\rundl132.exe
mhsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mhso.exe
mnsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mnso.exe
msccrt C:\WINDOWS\LSASS.EXE
MsIMMs32 C:\WINDOWS\12Sy.exe
qjsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\qjso.exe
rxsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\rxso.exe
tlsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\tlso.exe
wlsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\wlso.exe
wosa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\woso.exe
ztsa C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\ztso.exe
WSVBRS C:\WINDOWS\RUNDLL32.exe
upxdnd C:\WINDOWS\upxdnd.exe
svc C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\byetmr.exe
1MJPMIG_ C:\WINDOWS\IMEINPUTS.EXE
wssttrs C:\WINDOWS\wssttrs.exe
Microsoft Autorun9 C:\WINDOWS\system32\Ravasktao.exe
Microsoft Autorun14 C:\WINDOWS\system32\ztinetzt.exe
Microsoft Autorun5 C:\WINDOWS\system32\mosou.exe
Microsoft Autorun10 C:\WINDOWS\system32\nwizwmgjs.exe
Microsoft Autorun6 C:\WINDOWS\system32\mydata.exe
MailScanner C:\DOCUME~1\使用者帳號\LOCALS~1\adsl.exe
system C:\Program Files\Common Files\system\Updaterun.exe
kava C:\WINDOWS\system32\kavo.exe
Iexplore Data2 Center13 C:\WINDOWS\System32\firestore3.exe
sck12 C:\WINDOWS\system32\helpsys.exe
sixer5 C:\WINDOWS\system32\ssc.exe
sysms C:\WINDOWS\system32\sysem.exe
Systam13 icsws.exe
Windows Shield igkxibxhu.exe
mmsass mmdmm.exe
johkjh C:\WINDOWS\system32\srvd.exe
melg3445 C:\WINDOWS\system32\mdmdd.exe
  持續更新中...

安全的登錄值總整理

  以下整理的登錄值都是一般常見正常的登錄值,請不要動到它。

表格2: 常見一般正常程式的登錄值。
名稱 資料
IMJPMIG8.1 "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
nwiz nwiz.exe /install
PHIMETIPSYNC C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
Smapp C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
Yahoo! Pager "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
MSMSGS "C:\Program Files\Messenger\msmsgs.exe" /background
msnmsgr "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
swg C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
Skype "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
  持續更新中...

Posted by 唐先生 at 痞客邦 PIXNET 留言(166) 引用(1) 人氣()


open trackbacks list Trackbacks (1)

  • 電腦中毒了要怎麼辦?處理流程教學總整理

    這是從網路上看到電癮院的教學整理,自己也把它看了一遍,覺得非常實用,因此把它給連結過來,希望能對大家有所助益。如果能對您有所幫助,別忘了,請回到原作者的網站,去給作者打...

留言列表 (166)

Post Comment
  • homeni
  • 不能直接格式化嗎?

    我自己對於感染過後的隨身碟都是直接進行格式化,當然前提是,資料平日都有在做備份。

    對我而言,直接格式化就像是電腦重灌一般,快速很多。只不過我不清楚這樣到底有沒有清乾淨徹底。
  • 可以,對隨身碟來說這樣當然是有效的,不過你要注意,電腦上其他的磁碟是不是也中毒了,要不然日後隨身碟再度插回電腦上,並執行到電腦上的木馬檔案時,又會再度中毒的。

    唐先生 replied in 2007/09/28 07:58

  • 路人
  • 謝謝你

    很感謝你耶
    你真是大家的救星阿T^T
  • fs
  • 不好意思,麻煩你了,謝謝唷

    不好意思,請問一下,我的userinit這一個的資料是"userinit.exe,C:\WINDOWS\system\svchost.exe"這樣耶
    跟你的不太一樣,想問是不是有中毒= = ?
    不好意思,麻煩你了
    謝謝唷:D
  • 沒有錯,你的有中毒,你把這個Userinit的內容改成「C:\WINDOWS\system32\userinit.exe,」後,再重新開機確認一下有沒有再被改回來。

    唐先生 replied in 2007/10/10 18:17

  • 感激你的人
  • 想問你問題~麻煩你~

    我在HKEY_LOCAL_MACHINE裡的run發現了一個我懷疑是病毒的登錄值~不太肯定~
    名稱:ISUSPM Startup
    資料:C:\PROGA~1\COMMON~1\INSTAL~\update~1\isuspm.exe-startup
    可幫我看一看嗎?謝謝你~
  • 我剛在網路上找了一下,不管是中文、英文的都說isuspm.exe是Macrovision公司InstallShield安裝程式相關軟體,所以這個不是木馬程式,但是你還是可以移除它,因為它只是一個檢查有沒有更新的軟體。

    唐先生 replied in 2007/10/19 08:16

  • 感激你的人
  • 萬感激~

    謝謝你的解答~
    你真是我的救星~~~~^^
  • 不客氣。

    唐先生 replied in 2007/10/24 01:47

  • 水母
  • 想跟您請教一下

    我最近關機的時候發現常常會卡在儲存您的設定值這邊
    但是用卡巴7.0並沒有掃出什麼病毒
    而我觀察了一下使用者設定檔
    發現他的容量竟然有190 mb
    雖然我並不清楚使用者設定當一般應當有多大
    但我直覺問題應該出在他身上
    請問有辦法可以解決嗎 謝謝
  • 小路
  • 我ㄉ電腦也很像中毒

    我想請問是所有的名稱(預設值)的資料都是顯示未知數或空白嗎??
  • 佩ㄚㄚ
  • 幫幫我好嗎

    我的防毒軟体一直顯示;檔案C:\autorun.inf病毒:Win32/PSW.Agent.NDP木馬批注 我該怎辦呢    電腦白癡上
  • 請你先參考http://blog.pixnet.net/changyang319/post/9211590這篇教學,看看是否可以用。

    唐先生 replied in 2007/10/29 08:06

  • 力紗
  • 我用Norton Security Scan掃到了一個間諜病毒,資料如下
    Spyware.Perfect
    病毒 ID: 4294906217
    類別: 間諜軟體
    -----------
    處理:
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\winnt\stcbcl\stcbcl.exe
    感染:
    c:\winnt\stcbcl\stcbcl.exe
    瀏覽器快取
    登錄:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run->stcbcl

    在你整理的有問題登錄值沒有看到上面那一個,可以直接把他殺掉嗎?
    一直麻煩你,真不好意思.. 謝謝~
  • 這個可以殺,我沒有碰過這個木馬程式,所以沒有列在我的清單中。

    唐先生 replied in 2007/11/05 18:40

  • 力紗
  • It's me again...><
    要怎麼殺呢?? 完全找不到那個檔案...
    用過了顯示所以隱藏檔案,命令提示字元,安全模式,都找不到!!
    麻煩你了,謝謝!!
  • 會不會Norton Security Scan掃到時,就已經清除了?之後還有再掃到這個病毒嗎?

    唐先生 replied in 2007/11/07 11:40

  • 力紗
  • 沒有! 掃到它時,Norton Security Scan表示免費的軟體無法解決此類型的病毒!
    剛又掃了一次,它還在!
    所以是要去買Norton來解決?
  • 最簡單的辦法去買Norton也許可以解決,
    因為你的情況是Norton Security Scan有抓到,可是你又找不到那些檔案,關於這點我也無能為力。但我覺得你可以去下載賽門鐵克的Internet Security 2008試用版先來應應急,也看看是否可以將電腦上的毒都清掉。

    唐先生 replied in 2007/11/08 08:12

  • 力紗
  • 謝謝~^^
    我會先去找試用版來應急看看,希望能解決呢!!
  • 小米優
  • 哈囉,我的電腦中了一個WIN32:SDB的毒,每次掃完毒,一開機又會出現,要用啥辦法解毒呢??好困擾哦~~
  • 我在網路上找不到相關WIN32.SDB的資料,也許你可以換個防毒軟體試試看。

    唐先生 replied in 2007/11/11 22:53

  • 可憐ㄉ小孩
  • 拜託 救救我!

    我家ㄉ電腦自從上一次強迫關機後就一直出現問題 例如:線上遊戲玩到一半跳出來、奇摩即時通進不去(一按便馬上跳回輸入帳號密碼ㄉ地方)、程式進行速度變慢....等ㄉ情形 請教我要如何處理
  • 你電腦發生的問題真多,最根本的解決辦法當然只有重灌而已。
    不過最好也可以檢查一下硬碟有沒有壞軌之類的問題。

    唐先生 replied in 2007/11/11 22:56

  • ET
  • 不好意思 我有很多疑問想請教您

    1我造著你敘述的方法做 發現RUN裡有Kava 跟你的目錄一樣 我把她刪掉了 可是從新開機之後 發現 他又回來了 怎麼辦
    2資料裡是不是只要寫著C:\DOUCUME~1\user\LOCALS~\Temp\....\exe的 不管在哪裡(包含Run以外的地方)她就是病毒嗎?
    3我發現 我的msnmsgr的寫法跟你的不同(我的是MsnMsgr)而且 他資料的寫法也不同(我的是"C:\Program Files\windowa Live\Messenger\Msn Msgr.Exe"/background)它有問題嗎?
  • 1. 請你參考「隨身碟解法http://blog.pixnet.net/changyang319/post/9211590」這篇,執行過怪貓寫的批次檔之後,就算開機時,那個kava又跑回來了,它在開機時,只不過是開啟了一個文字檔而已,並沒有真正執行到kavo.exe,雖然有點小瑕疵,但是我想這樣就沒有問題了。
    2.如果執行的路徑是C:\DOUCUME~1\user\LOCALS~\Temp\....\*.exe,幾乎一定是病毒
    3.那個沒有關係,Msn目前在新舊之間有好幾種版本,它的執行程式也都不一樣,你只要確定你平常執行的Msn程式和那個是同一個就可以了。

    唐先生 replied in 2007/12/12 09:22

  • FencingFreak
  • 麻煩你~~

    最近電腦總是彈出一些視窗說我的電腦中招(Trojan-Spy.Win32@mx)不停地叫我下載防毒程式...可是我也不敢下載
    但是我剛才用Ad-ware SE personal掃描了
    又清除了找出來的病毒,但是還是不行
    然後我又用手動解除
    也不行--------怎麼辦??
  • 如果你已按照我的解法下去全試過的話,你可能就要重灌了,我沒有在你身邊,我並不曉得你電腦還有哪些問題,沒有辦法教你怎麼做。
    我寫的這些解毒的方式很多,除非中的這個病毒真的很麻煩,要不然都是可以解的,只不過你解毒的經驗不多,還沒有辦法體會我文章上所說的東西,而遺漏掉某些細節動作。

    唐先生 replied in 2007/12/12 09:27

  • tsai
  • VISTA要怎麼看登錄值

    請教一下
    在VISTA要怎麼看登錄值
    謝謝您
  • 一樣在【開始】上按一下滑鼠左鍵,然後在〔開始搜尋〕上輸入「regedit」即可。

    唐先生 replied in 2007/12/12 09:27

  • tsai
  • 不好意思

    不好意思又是我
    按了開始之後在右側有一個搜尋(沒有開始搜尋這個選項...)打regedit沒用
    不知道有沒有搞錯方向了
    我的是VISTA BUSINESS版本
    謝謝您
  • 我倒是沒有看過Vista Business的版本,但是你可以利用鍵盤的「視窗鍵+R」快速鍵來開啟開始功能表的「執行」。

    唐先生 replied in 2007/12/12 22:39

  • 琪琪
  • 可以幫幫我嗎????

    2008/1/15 下午 03:37:32 檔案 C:\DOCUME~1\User\LOCALS~1\Temp\taso0.dll: 偵測到 木馬程式 'Trojan-PSW.Win32.OnLineGames.ods'. 使用者: ADMIN-11\User,電腦: localhost.
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    這病毒一直出現= ="
    我試過你ㄉ方法找..
    找是有找到...但是!!
    坎不掉!
    它一直說我這程式使用中無法刪除>"<
    可以幫我一下嗎?如何才能坎掉這個病毒!!
    謝謝你^^
  • 你有進入「安全模式」下去殺那個檔案嗎?(進入安全模式的方法在首頁的解毒流程那)

    唐先生 replied in 2008/01/15 16:28

  • 花*
  • 中毒

    我家掃描軟體說有tracking cookie這個病毒,我看知識+,有人說這不是病毒,對於這個,我並不了解,請麻煩你告訴我,我該怎麼刪掉那個毒?我去找過cookies資料夾,並把一些訊息用掉,後來在掃一次,那個病毒未消掉,真令人頭痛,麻煩一下囉!謝
  • 有些Cookie確實會殺掉又再跑出來,我自己也不太曉得這個中的原因,但我覺得這並不重要。
    「Cookie」只不過是網站用來記錄我們的帳號及有效登入期間之類的資訊,它並不會強迫我們去上某些有問題的網站,我自己每次掃到有問題的Cookie時,有時連殺都不想殺。
    (我觀念有錯的話,還請高手賜教)

    唐先生 replied in 2008/01/31 08:19

  • 花*
  • 中毒

    我不知道現在是哪裡有問題,只要一連線,不久,他就會說,<自動離線>問我是否要繼續連線。以往,都沒有發生過這樣的事,我不知道為什麼這幾天會這樣。而且網路變的很慢,以前比較沒這樣的問題。我想應該是中毒,但是不知道要怎麼刪。我之前說的cookies資料夾,可以刪掉嗎?我有兩個cookies的資料夾,裡面都有向DVD的檔,刪也刪不掉,每個人都有那個嗎?
  • 會自動離線的問題很多,我以前有遇過是集線器的問題,當然也有可能是Windows系統的問題。cookies可以刪掉。裡面有DVD檔是什麼意思?DVD檔是VIDEO_TS這些東西嗎?

    唐先生 replied in 2008/02/02 21:44

  • miller
  • 有個地方請教一下~~

    C:\Documents and Settings\EndUser\Local Settings\Temp。
    問題一:我的電腦在Documents and Settings沒有EndUser這個資料夾...只有user的TEMP裡有暫存資料!!
    問題二:是不是所有在TEMP這個資料夾~~裡面的暫存姿造全部清掉會比較好???還是有些是不能刪的???
    EX: EZ_temp;WPDNSE;~nsu.tmp這3ㄍ資料夾可以刪ㄇ???
  • 問題一:EndUser是我自己所假設的使用者帳戶名稱,所以請以你自己的為主。(你的是user沒錯)
    問題二:所有在Temp的資料夾全都清掉沒有關係,裡面所有的東西都是暫時存放的,被殺掉了,應用程式會自己再產生出來。

    唐先生 replied in 2008/02/04 09:40

  • MILLER
  • 疑似中毒~~但沒找到你的註冊碼

    因為防毒軟體過期~~但是又好像中毒
    在你的危險病毒碼當中並沒有發現中毒現象
    現在如果還不想重灌~也還不打算賣防毒軟體
    我可以如何自救跟檢查?
  • ming70
  • 我的電腦好像中毒了 一直掃描出間諜程式 卻又刪不掉

    一直出現以下這些東西


    REGKEY:HKCR\interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836}
    REGKEY:HKCR\typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb}
    REGKEY:HKCR\e404.e404mgr
    REGKEY:HKCR\e404.e404mgr.1

    REGKEY:HKCR\e404.e404mgr
    REGKEY:HKCR\interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836}
    REGKEY:HKCR\typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb}
    REGKEY:HKCR\e404.e404mgr.1


    我是用F-secure ANTI-VIRUS掃描的
    找到了卻又刪不掉
    而且一直出現
    這2天我的F-secure ANTI-VIRUS也變的怪怪的
    都不能自動更新
    您能不能幫幫我解決我的問題嗎
    感激不盡
  • 紋紋
  • 請問....

    請問C:\Windows\System3\wincon.exe
    可以刪嗎?我掃毒掃到的,這個刪了對電腦會有影響嗎?
    而且我真實去找時都找不到這個wincon耶
    你之到它的登錄編輯程式嗎?可以從登錄編輯程式改嗎??
    我是現上掃毒掃到的,只能偵測到中什麼毒,可是卻沒辦法幫我清除
  • 你有開啟觀看「隱藏」及「系統」檔案屬性的選項去看嗎?還是有使用「命令提示字元」到該資料夾下,使用「dir wincon.exe /a」下去看?(若你不會切到該資料夾內,直接輸入 dir c:\windows\system32\wincon.exe /a」看看有沒有找到這個檔案就可以知道了。
    這個wincon.exe根據網路上的資料,是不好的東西,要清除。

    唐先生 replied in 2008/06/21 22:19

  • - -
  • 電腦有點怪怪的

    最近我的電腦工作管理員打開有一個
    svchost.exe 然後
    使用者名稱是SYSTEM
    有時候這個處理程序都會讓我的CPU飆到
    100
    這樣是正常嗎?
  • 這不一定,因為你說「有時候」,這種情況也有可能是CPU的等級比較沒那麼強,導致部份程式動不動有100%,但只要它隨即又處理完畢的話,就大概沒有什麼問題。
    至於算不算正常,我也無法肯定的告訴你,Sorry.

    唐先生 replied in 2008/06/30 08:27

  • Grace
  • 我找不到 winlogon 那個資料夾~
  • 一定有的,這個是在WindowsNT底下喔!問一下,你的作業系統是XP或是2000的嗎?還是說還在98呢?

    唐先生 replied in 2008/06/30 08:29

  • kyo
  • Your blog is very wonderful! it helps me a lot. thank you.
  • 阿倫
  • 請問一下 要去哪邊找Userinit 不好意思麻煩你了
  • 阿倫
  • 不好意思 我找到
  • orange30
  • 您好
    我最近電腦有時上網上到一半
    就會變得不能上網~可是還是有在連線
    不過像開real player也不能開
    然後重開機前
    他就會終止一個avp.exe的程式
    我不知這樣是不是有中木馬耶
    我用我的正版卡巴斯基7.0版也掃不到毒
    查了很多資料也霧煞煞
    對了 我的c:windows內也看不到avp.exe

    謝謝回答唷
  • 無神
  • 這樣有中毒ㄇ?

    最近我使用電腦時 就會類似畫面定格 整ㄍ桌面ㄆ會動 連工作管理員都較不出來 掃毒ㄝ沒少到啥 怎會這樣 事ㄆ是中毒 之前掃毒時有少到2ㄍ但已經點選移除 ㄝㄑc槽裡面看過沒有一樣ㄉ檔案 還是沒有刪除? 我用ㄉ防毒軟體是NOD32 大大幫ㄍ忙ㄅ@@ 感謝
  • 佩
  • 電腦這樣??

    今天玩即時打字到一半,
    變成只能打兩個字以下案一次ENTER不然就會盪掉
    就是打字下面都會有虛線
    只要連續打超過兩個字沒按ENTER就會盪!
    可以幫我看一下嗎?
    謝謝!
  • 呆龍
  • 我中毒了

    我用的是NOD32,我的電腦常常中同一種病毒<INF/Autorun.gen.trojan>檔案有時是D://autorun.inf,有時是C://autorun.inf該怎麼
    做呢
  • 千千
  • 想請問我在網路上查到說"explorer.exe除了在system32裡的是正常的,其他都是病毒",(又有看到一些其他說法...有點混亂)
    後來搜尋之後出現五個explorer.exe檔,有兩個特別奇怪:
    C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf跟C:\Documents and Settings\Joyce101\Local Settings\Application Data\ApplicationHistory\Explorer.EXE.3c2f65a1.ini.inuse

    想請問是不是就是病毒了? 真是抱歉,因為是電腦白痴,實在不敢亂刪,只好請教看看>"< 謝謝您!
  • 1.只有在Windows裡下的explorer.exe是正常的,要是system32裡有這個檔案,那個是假的。
    2.另外explorer.exe也會裡複製一份放system32\dllcache中,這個也不用理會它。
    3.除此之外,有時explorer.exe也會存在「Windows更新」的資料夾之中,如Windows\$hf_mig$\KB938828\SP2QFE。
    4.其實除了第一個位置的explorer.exe不能殺之外,其它的殺掉也沒有差。

    唐先生 replied in 2008/10/14 18:57

  • 千千
  • 太謝謝了,好詳細^^
  • 壞腦人
  • 桌面變成廣告

    桌面變成防毒廣告.在桌面剔入內容沒有了桌面選擇請問怎麼辦.謝謝
  • 狗狗
  • 不知道是不是山錯重要東西

    請問刪到
    HKEY_LOCAL_USER SOFTWARE Microsoft Windows CurrentVersion Run
    (空白鍵代表斜線我不知怎ㄇ打)中除ㄌREG_SZ以外的其他檔案會怎樣?
  • 電腦笨笨
  • 請問:
    桌面忽然字體變大
    在'內容"不能改
    我要怎麼修改

    是不是中毒了?!
  • 攸
  • 請問一下

    最近我的電腦也常當機
    不知是不是中毒了
    有時當機後就出現一個藍色的畫面
    重開機會出現程式在倒數
    或是一直發生聲音
    我用卡巴掃毒也沒用
    之前有被盜過及時帳號
    應該有 我發現了
    然後隔天就一直被攻擊
    卡巴一直出現訊息
    是因為這樣中毒了嗎?
    電腦很怪 一直盪掉
    一直要重開機><
  • 當然您的電腦需要有人來幫你做檢查,我猜測,也許要先測一下硬碟有沒有問題。

    唐先生 replied in 2008/12/08 21:14

  • mimi
  • 您好,請問是不是中毒之後電腦就會變的比較脆弱?很多莫名奇妙的不明程式都接踵而來,真的很困擾.
    數不是所有地方都要像這樣檢查路徑? (這樣我大概會死xD)
    我試過你的方法了,感覺真的不錯.很感謝是真的^^
  • 張牙舞爪
  • 找不到 ><

    我在電腦裡
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows NT\CurrentVersion\Windows\load
    load怎ㄇ找不到 中毒ㄌㄇ><
  • 我確定過路徑是對的,你要注意的是這個"load"是windows裡的一個字串值,並不是目錄。

    唐先生 replied in 2009/01/08 15:53

  • PETE
  • 謝謝幫忙

    C:\WINDOWS\TEMP裡有一個Perflib-Perfdata-7f4一直刪不掉。刪的過程總是顯示"有人在使用那個檔案";到安全模式下"它"又不見了,回正常模式則又出現。7f4會隨機變化。

    請問,是中毒嗎?怎麼刪除?

    我使用pc-cillin掃也掃不掉。

    謝謝您,這個部落格對使用電腦的普羅大眾幫助很大。
  • flightmomo
  • 我是找不到ISUS.msi
    而電腦一直出問題的~"~

    請問我該怎麼把他找回,或是移除。
  • 我不懂你所說的找不到ISUS.msi

    唐先生 replied in 2009/02/23 11:40

  • a wish
  • 你好,
    我的電腦中了病毒(avg anti-virus的掃毒報告),該病毒在c\windows\system32\ping.exe 我的電腦好像沒有甚麼明問題,我現在應該如何處理呢?
    ~謝謝~
  • 綠碌
  • 請問一下
    我家的電腦無法開啟登錄編輯程式
    我在執行已經輸regedit但電腦卻完全沒有反應
    在安全模式下 情況也相同
    另外 我想知道怎可以把病毒定義檔放入中毒的電腦 用usb會令usb也中毒嗎?

    拜託解答 我是電腦白痴T.T
  • 我曾經遇過輸入regedit卻無法執行的情況,但面對那個情況,我卻無計可施,不過再怎麼弄,也都還是叫不出regedit,我最後也只能重灌了。
    如果你想要將病毒定義檔放入電腦中,用usb是個方法,也可以將資料燒在光碟片上,方法很多,不過我建議你還是重灌會比較能解決問題,因為你的作業系統早已受損,就算病毒解掉了,系統還是會怪怪的。

    唐先生 replied in 2009/04/07 18:49

  • muta
  • hbkernel.sys這個是什麼檔案為什麼掃毒程式每次都掃到但殺不掉
  • 這個你只能自行參考手動解毒的教學,自己試看看了。

    唐先生 replied in 2009/06/03 21:38

  • 小布
  • 開機不了

    開機時後然後一直停在黑黑的畫面 又有白字白字出現是這樣 Reboot and
    Select proper Boot
    device or Insert Boot Media in selected Boot device and press a key
  • 蠢妞
  • 這個預設值....是正確的嗎?

    我在HKEY_LOCAL_MACHINE/Microsoft/Tahoe
    它的預設值後面不是空白 它寫C:\Program Files\Common Files\Microsoft Shared\Web Folders

    請問這是正常嗎??
  • JOJO
  • 請問這是病毒嗎

    C:\WINDOWS\system32\dfshim.dll,1
  • laulau
  • 瀏濫器經常han機出漏斗就唔行了

    經常關閉一個網頁畫面時佢就出現漏斗,仲好耐都無回應,其實han咗機,跟住X及選不回應,全組網頁就齊齊關閉,請高手指點,是否internet explorer 6.0有問題,我唔用6.0以上的,重裝6.0能解決嗎?
  • 小豬
  • 我家的電腦所使用的防毒軟體是Avast的,其實昨天(98.12.26)我就有掃過病毒,就發現這個如蟲病毒,我把它刪掉了,以為已經成功刪掉了。
    沒想到(98.12.27)今天晚上卻跑出來蠕蟲病毒,刪掉後沒多久又跑出來,不知道到底位什麼???我有掃毒,但是電腦好像還是會有,不知道是不是重了再生的蠕蟲病毒,我很擔心,不希望從灌電腦,麻煩一下,不好意思。
  • 現在有很多病毒都是這樣的,所以並沒有萬能的掃毒軟體。這種只能手動的去找出真正在每次開機時去產生病毒的程式,蠻複雜的,很抱歉沒有辦法說明的很清楚,不過大多的步驟就如文章中所說的一樣。

    唐先生 replied in 2009/12/28 09:45

  • jenny
  • 麻煩你了

    請問電腦是vista的可以用一般使用還原片的方式還原嗎?
    電腦主機有回應 可是螢幕沒訊號該怎麼辦?
  • 所有的電腦都可以使用還原片還原,通常你如果是買品牌的套裝電腦,都「可能」有附還原光碟,就可以利用這些片子來還原電腦。
    而最後你說「電腦主機有回應,可是螢幕沒訊號該怎麼辦?」這個問題是和上一次問題是一起產生出來的嗎?
    如果是電腦螢幕沒有畫面,這個有蠻多的情況的,而且發生的原因很多,例如:有些電腦是一按按鈕開機,就沒畫面了;而有些是一開電時還看的到畫面,但進入Windows後就沒畫面了;而有些是螢幕線沒插好、螢幕壞掉...等等,問題太多了。

    唐先生 replied in 2009/12/28 09:51

  • 小哈
  • 我的電腦無論是上網或開檔案都變的很慢,我用趨勢掃毒掃很久都無法掃毒完成。我是不是中毒了,電腦設定有2個使用者,只有其中一個會很慢,登出使用另一個又正常。
  • 電腦白痴
  • 請問...

    最近找找找找到你家
    照你方法去點
    我看到一個我家列表機的
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVP.EXE /FU "C:\WINDOWS\TEMP\E_S10A.tmp" /EF "HKLM"

    他有兩串C餒
    這樣是嗎?
  • 有兩串是沒有關係,都是在同一行。如果你不確定這行有沒有問題,我建議你先將這行「機碼」給抄下來或先匯出,然後刪除這行機碼後重新開機,再試一下印表機的運作有沒有正常,如果印表機有問題時,再把這行機碼重新新增回去就好了。

    唐先生 replied in 2010/01/30 10:30

  • 冏人
  • 我ㄉ電腦一直重新開機,而且沒螢幕,進的去BLOS的畫面但是沒有螢幕(看不到),這樣電腦有就嗎?
  • 要看情況,我不懂你有沒有救是什麼意思,你送去修理不就有救了。
    「一直重新開機,而且沒螢幕」,既然沒有螢幕了,你怎麼知道,電腦有進入BIOS?

    唐先生 replied in 2010/01/30 10:20

  • 冏人
  • 我ㄉ電腦一直重新開機,而且沒螢幕,進的去BLOS的畫面但是沒有螢幕(看不到),這樣電腦有就嗎?

    電腦會重新開機2次,一開機一直狂按「Delete」鍵不是就會進入「BLOS」的畫面嗎?我知道他(電腦)有進去「BLOS」,可是螢幕一直沒有,不知道有沒有救?
  • 當然你一定要先確定螢幕有沒有問題,可以隨便別台主機來試,或是將螢幕拿到別人家試看看。
    另外如果你的電腦會重新開機2次,要先確定是不是作業系統的問題,因為作業系統沒損壞時,也會發生這樣的情況。確定不是軟體方面的問題時,再檢查一下顯卡、主機板及RAM。

    唐先生 replied in 2010/02/01 23:24

  • 第一次試著自己解毒
  • 我的電腦一開機桌面的應用程式我資料夾沒出現,就出現一個稱為"control centor"的視窗,叫我要去買一個license,請問這是中毒嗎?還是真的要買?
  • 沒有畫面,我不清楚你所說的「control centor」是什麼,和微軟所提示盜版的訊息有關嗎?
    但是當然不是電腦叫你去買你就買,這個情況如果嚴重到你無法忍受時,重灌就好了。

    唐先生 replied in 2010/02/01 23:26

  • 冏人
  • 謝謝你喔!我終於知道要怎麼辦了。
  • 勾
  • winsock---牠還註明無毒
    wsock--無毒

    都是從avast掃出來的

    我真不知是要用dll的程式把他殺掉,還是要直接按刪除



    請你幫幫我^^
  • 小白豬
  • 謝謝分享但是........

    謝謝大公無私的分享
    但是我希望可以做成文字檔之類的
    音位這樣可以列印下來看
    不用一直盯著電腦看那種小字體
    希望你可以把它做成WOOD的檔案或是比較本之類的我希望做完之後可以寄到我的信箱或是再放到無名之類的
    我一定會再來看
    謝謝
  • ...我希望我做的到。

    唐先生 replied in 2010/02/23 22:08

  • 電腦怪怪的人
  • 我的電腦之前灌pps都沒事
    灌完之後跳一堆廣告
    手頁也改不掉(進入是大陸網站)
    有時候還會出現全蘭的畫面就自動重開機
    麻煩幫幫我
    謝謝
  • 灌pps會跳廣告,應該算是很正常的,但灌pps並不會改掉你的首頁才對,也許你灌的pps版本是「有心人士」做好的版本,你要下找pps最好是從官方網站的下載鏈結下載。
    另一種可能,就是你的電腦原本就中毒,中毒的原因並不是pps所引起的。
    再來,你說你的電腦會變成全藍,然後就重開機,通常這有可能是作業系統損壞所引起,嚴重的話,還有可能是硬碟壞軌所引起。如果是系統損壞,可以用作業系統光碟做修復或是重灌;但若是硬碟壞軌,最好就趕快備份資料,準備換硬碟了。

    唐先生 replied in 2010/03/13 09:41

  • Dr. Yuri
  • Cookie

    有問題的Cookie一定要馬上解決,不然你可能會因為那些Cookie而電腦中「猛毒」。
    「猛毒」是一種可怕的病毒,他會藉著Cookie躲藏,等到你覺得電腦有問題的時候,已經來不及救了,「猛毒」它可怕的地方就是他會在你重灌時跑到光碟裡面,當你灌入電腦時,它還會在電腦裡面。
  • 先謝謝Dr. Yuri的回答。不過...我不曉得這些知識你是從哪邊吸收來的?科幻小說嗎?
    第一病毒並不會利用Cookie躲藏(Cookie是網站要記住你的一些習慣,下次再造訪時,就可以讀取這些資料,但它並沒有主動的攻擊性),再來重灌時,還會跑到「光碟」裡?這真是太神奇了,這你一定要教教我。光碟片一但燒好(CD-R),就不可能再燒進任何的資料,更何況是還很聰明的想要躲進光碟。

    唐先生 replied in 2010/03/13 09:48

  • aa
  • 請問

    請問vhg32.exe可以刪嗎?還有我的電腦說C:\WINDOWS\System32\Drivers\esbamfm.sys
    使用啟發式掃描技術掃描時發現一個可疑檔案.這可能是一個惡意程式,請問需要刪嗎?
  • xx
  • 那有什麼問題可以把廣告用掉勒
    打電動的時候一直跳很煩...
    而且我家的店鬧事剛買的筆電= =
  • 電腦白痴
  • 救救我的電腦!!

    想請問一下~所有的{預設值}裡都是空白的嗎?我的電腦中毒了,使是刪不掉.想請教你:病毒馬是Win32:Adware-gen[Adw]
    Win32:Malare-gen
    這兩個一直刪不掉..超困擾的..幫幫我!!
  • 的確,所有的「預設值」裡面都是空白的。另外你電腦中毒的事,如果你照著我的方法做還沒有辦法解的話,就只能送電腦公司了。

    唐先生 replied in 2010/03/29 21:04

  • 菜鳥
  • 請教達人...

    在下在自己電腦HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603裡發現,除了預設值外,尚有-000-001-002等三個名稱,其資料內容分別是avgrsstx.dll,AhnRpta.exe,aqoeerw.exe,我知道這3個內容是病毒檔的名字,但是不太確定病毒檔是否還在電腦某個位置(因為在"我的電腦"裡用搜尋的找不到),此前曾用了郭書維的kavo_killer軟體清除病毒,會不會是因為如此才找不到病毒檔,若然,那我是否只要將那3個名稱的內容清空就好了?還是仍需要再找出病毒檔藏在那裡?
  • 用「我的電腦」裡基本上當然是找不到的,要使用命令提示字元,使用命令「dir 檔名 /s/a」來搜尋,這樣才有辦法找出來。另外,我覺得你可以先把這幾個檔名抄下來,然後再把這幾個登錄值刪除,重新開機之後,再來看一下有沒有被病毒回寫回來,如果沒有的話,就可以不用管那幾個檔案,如果有被回寫的話,就還要另外去找出是誰回寫的,情況就會變的很複雜了。

    唐先生 replied in 2010/03/29 21:07

  • 菜鳥
  • 我執行「dir 檔名 /s/a」來搜尋後,都沒有找到那3個檔案;本來今天要照您的建議去刪掉那幾個登錄值,結果發現除了預設值外,只剩下"000"這個名稱,且資料內容變成"system",不知是否是因為我後來有使用CCleaner處理登錄檔的緣故,總之,很感謝您的指導,之後用symentec、housecall的線上掃毒,結果都是乾淨的:)
  • Dr. Yuri
  • 跑到光碟的是「猛毒」的病毒種,他會先暫存到光碟裡,等下次要用的時候‧‧‧。因為猛毒是人操控的!!!
  • 宇宙無敵電腦大肉蝦
  • 我的HKET_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
    Winlgon/Userinit
    裡面顯示的是
    C:\WINDOWS\system32\userinit.exe,zouni.exe
    這樣不就是中毒了嘛??
    但是我把exe,後面的全刪掉,他國一下下就又跑回來了
    為甚麼??
    有辦法把病毒砍掉嗎??
    還有,我的電腦常常自己跑出莫名的網頁,這又是位甚麼??
    中毒的話就會這樣嗎??
    拜託妳幫幫忙了ˊˋ我的HKET_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
    Winlgon/Userinit
    裡面顯示的是
    C:\WINDOWS\system32\userinit.exe,zouni.exe
    這樣不就是中毒了嘛??
    但是我把exe,後面的全刪掉,他國一下下就又跑回來了
    為甚麼??
    有辦法把病毒砍掉嗎??
    還有,我的電腦常常自己跑出莫名的網頁,這又是位甚麼??
    中毒的話就會這樣嗎??
    拜託妳幫幫忙了ˊˋ
  • 你的問題你也很清楚了,就是中毒而已,像你刪了userinit.exe後面的文字之後,它還是會再跑回來,這就代表有其它的程式又將這段文字回寫回來了,解決這個問題,就是要找出是哪隻程式做了這件事,先刪除那支程式,再回過頭來清掉Userinit.exe後面的文字就可以了,不過,用說的比較簡單,真正做起來就麻煩多了,你可以多加研究我寫的這些解毒文章,要不然就找個人重灌比較快。

    唐先生 replied in 2010/06/19 23:17

  • 請問
  • 掃毒怎麼掃都掃到@@

    C:\SYSTEM VOLUME INFORMATION\_RESTORE{773A718A-F5BC-449D-ADA8-D46831292E7E}\RP7\A0005715.EXE
  • 那你就要嘗試手動的去這個資料夾中刪除它。

    唐先生 replied in 2010/07/27 09:05

  • wen
  • 您好,
    請問我的電腦裡有一個
    C:\WINDOWS\system32\SVCH0ST.EXE
    這個是病毒嗎?
    請問如果是的話,我要怎麼刪除他
    感謝了
  • 如果那個"0"是數字的"0",那就是病毒沒有錯了。正常的檔案應該是英文字母的"O"才對。至於怎麼刪除,如果你沒有辦法直接刪除它,就請你看我相關的文章了。

    唐先生 replied in 2010/07/27 09:04

  • 奶瓶
  • 您好
    我的念腦中毒現在想要直接重罐
    硬碟裡面裡面有學校的資料
    我應該用隨身硬碟直接複製出來?
    還是應該把那些資料燒成一片一片的光碟?
    我同學說用USB隨身硬碟複製會順便把病毒也複製出來 但我另外的朋友卻說用燒光碟也會燒出來
    請問我該怎麼保留那些資料? 謝謝您
  • 我建議你用USB隨身碟將資料備份出來,重灌完電腦後,先把作業系統儘可能更到最新,並且要把防毒軟體也安裝好,且病毒定義檔也要是最新的,最後再把USB隨身碟插上,但不要急著從「我的電腦」直接去開啟那部隨身碟,先用防毒軟體掃描過整個USB隨身碟之後,最好能確認USB隨身碟的根目錄沒有被植入一些有害的執行檔之後,才能夠直接的雙點擊磁碟機代號,要不然的話,就是從網址列上去選擇那部磁碟機進入,這有點不好形容,總之,用USB隨身碟來備份資料,先不要將資料燒在光碟裡,因為要是真的有病毒的話,你會把病毒也一起燒進光碟片裡,要是真是這樣防毒軟體就沒有辦法幫你把光碟片的資料清除。但如果你夠小時的話,其實燒在光碟片裡也是可以,病毒本身不會怎麼,只要小心不要去執行到它就好了。

    唐先生 replied in 2010/08/16 22:12

  • 高
  • 物件無法存取怎麼辦
    如過要用找的把他刪掉
    可是很難找阿
  • 手動解毒本來就比較困難,從目前正在執行中的程序,並且把它終止掉,就可以去刪除掉想要刪除的檔案。若還是不行,可以利用WinPE之類的開機光碟來開機,進入Windows的系統後,再去刪除想要刪除的檔案。
    要是再不行的話,也可以拔硬碟到別台電腦上去處理,總之,過程很瑣碎,也很麻煩,要是覺得麻煩的話,重灌最快了。

    唐先生 replied in 2010/08/27 13:25

  • 對電腦有興趣
  • 請問
    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC



    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName



    RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    都是病毒碼!?
  • 那個都不是,都是正常的程式。

    唐先生 replied in 2010/09/14 21:01

  • 小憲
  • 我該怎麼辦...

    我看了以後發現
    我的好多預設值都"不是"空白耶...
  • 那要看你預設值上面填了些什麼文字。

    唐先生 replied in 2010/11/23 09:07

  • 流浪嘉
  • 請問我進到登錄系統後,怎麼找不到以下這些呢?
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnceSetup



    # RunServices

    HKEY_CURRENT_USER\SOFTWARE\Windows
    \CurrentVersion\RunServices

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServicesOnce

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServices

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunServicesOnce
  • 吸塵器
  • 這個樣子呢?

    我照你上面的程序去做結果我load是顯示
    LoadAppInit_DLLs

    那我該怎麼辦呢?
    感謝回答!
    我覺得這個網站真是太神
  • 當然要先確定這個「loadAppInit_DLLs」是你有用到的程式所寫上去的,還是惡意程式寫上去的。我建議,先把這個字串完整的存下來,然後再從load中將這個字串清除掉,如果清除掉之後,對你其它任何的軟體都沒有影響到的話,就可以不用管這個字串了,反之,如果你發生日常在用的程式不能執行了,或是有異常的狀況時,那就再將這個字串回寫回去,確定一下是不是這個字串所造成。

    唐先生 replied in 2010/11/27 23:37

  • 小魚
  • 你好大大,可以幫我看一下,每次開機都會出現這種訊息,SVCHOST.EXE-應用程式錯誤
    內容是【"0x77d baba7"指令參考的"0x77d baba7"記憶體。該記憶體不能為"written" 然後不管我按確定或取消
    再去按音量就又會變成【沒有使用中的混音裝置可使用...】了
    而且有時候像網頁的視窗
    右上角那些縮小放大跟關閉的按鈕都會從原本的藍色變成銀白色
    就連桌面下面的的工具列有時候也會變銀白色
    ,這是中毒嗎? 我在網路上找到的答案是:音效驅動程式錯誤?這該怎麼處理
  • 這個問題看來像是因為驅動程式發生問題,而造成系統問題,並不是中毒的狀況(但我並沒有說你的電腦沒有中毒,因為大多數的人電腦都是中毒而不自知)。
    如果我要修復這個問題的話,我會「重新安裝音效的驅動程式」、「檢查音效裝置是否真的有異常」,以及「將Windows更新到最新的狀態」。

    唐先生 replied in 2010/11/27 23:47

  • 隱形
  • 一直當機

    我才重灌
    可是ㄊ又中毒ㄌ
    什麼應用程式都不能進去~~(包括防毒軟體)
    話說你給ㄉ檔案我都沒有耶(毒)!!
    可是還是完全進不去...
    拜託幫幫我呀
    快瘋掉ㄌ...
    感謝~~
  • 你這樣問我也不曉得是怎麼回事?

    唐先生 replied in 2010/12/10 16:56

  • 小乖
  • ..

    對不起 我才4年級 所以我還是不太懂耶 所以我都看不清楚-ˇ-""
  • 慢慢看,對電腦有興趣的話,久而久之就會懂的。

    唐先生 replied in 2011/03/17 21:22

  • Hank
  • 執行」裡,輸入「regedit」

    我按確定他就跑出一個叫我選要用什麼程式開啟耶?怎麼辦
  • 第一,發生這種情況,當然是先去檢查regedit.exe是否有被替換掉,以我的XP SP3的regedit.exe,它的檔案大小為 132,096 bytes,你可以去檢查一下C:\Windows\regedit.exe一下,若檔案大小相同,你可以嘗式直接到Windows的目錄底下直接去執行該檔案一下,看看會有什麼結果。

    唐先生 replied in 2011/04/24 20:13

  • Hank
  • 可以直接把"C:\Windows\regedit.exe"複製貼在我的電腦?
    我貼上後,他跑出一個檔案問我說要執行或儲存?
    我該繼續執行?
  • 緣~
  • 抱歉打擾,想請教一下殺不死的病毒~

    我中了一隻病毒:[Windows XP Restore-v Spyware/Adware],掃到時都顯示[移除登入值],物件名稱[HKLM\SOFTWARE\Microsoft\ESENT],每次開機都會復活,不知怎麼辦,可否幫我看看,感激不盡~
  • Dr.Yuri
  • 最新研究發現,其實「猛毒」是人為引起,某甲買到附毒的WindowsXP光碟片,因此造成電腦的不適,在此提出聲明,絕對沒有「猛毒」可以侵犯到大家的電腦,為此事件真是深感抱歉。
  • Paul
  • 您好,想跟您請教:
    我在msconfig中的啟動項目看到一個打勾的項目是沒有名字,命令欄也是空白的。但是他有位置,正是在HKLM...current version\Run那裡。我一一比對後,該項似乎只能是"(預設值)"。然而空白者實在很怪,未知是否是有惡意程式,抑或是系統本身登錄的bug?
    感激不盡!
  • 那個沒關係,是正常的,不需要動它。

    唐先生 replied in 2011/08/22 08:46

  • 訪客
  • 請問我電腦開機連線後 防火牆程式就會跑出警告說 有個名稱為*的應用程式想要與網路連線 用電腦搜尋程式也查不到在電腦的哪個地方 請問你有辦法解決嗎
  • 搜尋這個「*」,當然一定是搜尋不到,我是建議可以注意一下,在開機時有哪些程式會啟動,然後再一一的過濾,看看是哪一個想要連線到網際網路。當然,這有點麻煩。

    唐先生 replied in 2011/08/25 22:19

  • Private Comment
  • jimmy
  • 您好:請問win2000電腦在工作管理員內有很多rundll32.exe在執行,是中毐嗎?要如何解,因為網路一直有問題,謝謝
  • 原本電腦中就會有蠻多rundll32.exe,所以不能就直接斷定這些是病毒。

    唐先生 replied in 2011/10/04 18:43

  • 訪客
  • 請問電腦他嚴重到用執行打regedit也都跑不出東西來怎麼辦呢?
    而且整個桌面上都沒東西.開始功能表裡所有程式都沒東西
    而且還出現一堆視窗上面寫"Windows - Delayed Write Failed"的東西
    是不是代表電腦完全沒救了? >"<
  • 你要注意,Windows出現這種「延遲寫入」的情況,最常發生在我們的隨身碟上,因為還在使用中,就將它抽出來。但如果是你平常就會發生的話,就要小心硬碟已經快要掛點了。

    唐先生 replied in 2011/10/15 11:50

  • 桌面整個變黑
  • 您好

    我想詢問一下
    我的筆電今天用到一半IE突然自己關掉
    再開一樣是自己關掉

    之後桌面上就出現了很多
    windows-delayed write failed
    failed to save all the components for the file.....
    之類的小視窗
    而且它自己重新開機後
    桌面完全變黑 桌面上的東西也全都不見
    按開始也都沒東西 全都顯示(空)
    右下方黃色三角形的警告標誌一直出現Critical Error

    可以麻煩幫我解答電腦怎麼了
    然後可以怎麼救嗎??


    謝謝
  • 先重灌,再會發生這類的情況時,再來檢查是硬碟還是記憶體的問題。

    唐先生 replied in 2011/10/21 10:32

  • 訪客
  • 謝謝

    會試試看的
  • 救命
  • 剛登入進去桌面就出現
    Sync.exe
    Error:registry2.key_arror[RegopenKeyex0 failed:Key"Software\Fighters\RCPRO\Mise"(2)]
    之後就當了這是為什麼阿?
  • kin
  • 請問這是病毒嗎
    C:\PROGRA~1\COMMON~1\System\MAPI\1028\nt\mlcfg32.cpl
  • sofa89
  • 您好
    請問中毒後media player一直自動跳出,但沒有回應,所以不停重覆強制關閉
    (像用工作管理員那樣)
    您上述說的那些路徑我都有檢查過了,都跟您的一樣
    怎麼辦呢?

    還有,若嚴重到要重灌的話
    我勢必得備份檔案
    那麼這些檔案複製到外接硬碟裡
    病毒會不會也一起進去毀了我整個硬碟?

    先謝謝您提供以上資料:)
  • 病毒是不會毀了你的硬碟(但有可能毀掉你隨身碟的資料),除此之外,病毒最多只是跟著你的資料一起進去而已。

    你還是要先把重要的資料,先放進隨身碟,之後重灌好電腦,並且灌好防毒軟體時,才能將隨身碟插回去,此時,立即要做的事,就是利用電腦上的防毒軟體,立刻對隨身碟掃毒。

    唐先生 replied in 2011/11/02 23:48

  • kin
  • 請問這是病毒嗎
    C:\PROGRA~1\COMMON~1\System\MAPI\1028\nt\mlcfg32.cpl
  • kin
  • C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
    刪了後面的文字之後,它還是會再跑回來,要如何找出是哪隻程式做了這件事
  • 這個是輸入法相關的程式,不用理會它沒關係。

    唐先生 replied in 2011/11/26 21:05

  • 車
  • 你好 請問一下 前幾天我ㄧ登入桌面後在avast跑出來後就當機
    我把他刪掉後就好了 但現在的情況是都會跑應用程式錯誤 尤其是在玩遊戲時
    一按鍵盤網頁就掛了 也是中毒了嗎
  • 這我不曉得,也許只是系統檔案有問題。

    唐先生 replied in 2011/12/13 12:38

1 2

You haven’t logged in yet, please use guest status to leave message. You can also log in with above service account and leave message

other options