2008-05-15 12:47:02
Kenny
移除病毒,系統備份基礎應用。簡單動畫教學,易學易用
一、登錄備份,有備無患。
電腦使用之後,由於不明的原因,造成系統的異常,這些情況排除硬體的問題,而只是軟體系統的紊亂
例如不能關機,出現藍屏,缺少了dll,中毒等等造成電腦使用出現問題。如果重灌當然系統可以得到解
決,可是因為一個小問題,系統重整,不是殺雞焉用牛刀嗎?如果登錄檔有適當的備份,就可還原到上次
備份良好的使用環境。
二、使用要點
系統醫生使用時先用"掃描"來進行系統的檢測,出現第一次對話框問你是否要備份,由於系統有諸多錯誤
所以"取消"備份,再按修復系統。等系統無誤,再進行"備份"。多久進行一次備份呢?因人而異,但最好在
加入新的軟體之時,最好就進行系統檢測修正並備份一下檔案。系統備份時會將新的備份覆蓋上一次的備份
。而執行系統覆蓋還原時有時會出現有些檔案覆蓋不能成功的對話框框,這是因為你加了新的軟體或是移除軟體
之後並無重新備份,造成多餘或是缺少了某些檔案,這是正常的現像,照樣可以覆蓋。
如果你沒有這個軟體,又想備份你的登錄檔,那你可到下面的網站,選擇你的作業系統,下載備份工具來備份你登錄檔。
http://service1.symantec.com/SUP ... amp;src=sec_doc_nam
| Quote: | |
|
一、關閉系統還原,勿成病毒幫兇
中毒了?有木馬?如何移除?第一要務,也是必備動作,就是要關閉還原系統。微軟將Window system restore
系統還原放在System Volume Information的資料夾。而微軟禁止任何防毒軟體進入系統還原的資料夾進行清
理動作,這有商業模式與系統完整的雙重考量。由於微軟為病毒開了一個後門,造成了病毒也可以借屍還魂
形成防毒好像己經移除了病毒可是病毒靈魂依然與你的電腦同在。這個良好美意,使你真正需要系統還原時,
無法成行,但是對於病毒而言,卻是屢屢可以高唱"還魂曲"。
二、使用要點
Symantec Antivirus官網手工解毒的第一道手續,就是請你關閉系統還原。加上微軟這個系統還原佔有非常大
的資源,一般進階的用戶,對於這個雞肋,實無太大好感,所以大部份就私下把它給"閹"了。當然你也可掃除
病毒前先暫時關閉,等移除了病毒之後再按反方向將其打開,請按圖操作就可。
| Quote: | |
|
一、進入安全模式
進入安全模式是可以讓你來掃毒或是進行解決問題(Troubleshooting)的最佳模式。在這模式下由於系統只載入
基本的開機程序,所以有些關連的檔案就不會互相牽扯,你可以來刪除一些毒檔,更改登錄檔中的一些數據,
當然還是有一些可疑檔案由於在系統檔中(如Fat16或Fat32),你會無法刪除。這時就要用Dos開機片進入Dos下用
指令來刪除。或是在系統檔(NTFS)中就必須用原版光碟,按R到修復主控台中用Dos指令來刪除。當然你必須懂一
些指令來進行這個動作,這時就不會有刪除不了的系統檔了。但這個動作必須謹慎,以免造成系統崩潰。
二、使用要點
進入安全模式你可以在系統載入電腦公司logo時,按F8(各家電腦會有不一樣的情形),然後選擇你要的模式。
當然你也可用System Configuration Utility的方法進入安全模式,請按圖操作就可,但要記得使用完畢後
一定要回到原處,將safe mode的勾勾去除,再關機重啟。當然你也可用一個小工具來進行這個工作。
| Quote: | |
|
一、刪除網路的暫存檔
進入系統掃毒之前,應該先來清空一些不要的檔案,或是一些可疑的網頁暫存檔,但這個工作之前,最好斷開
網路,就是暫停網路的連接,以前這個動作很少人來實行,但有越來越多的證據顯示,在網路的鍵接下,防毒
軟體很難來判定毒檔,會呈現所謂的"呆滯"的現像,但是表面是看不出來的。而且可疑的檔案也會以網頁暫存
的模式寄生在網頁的暫存檔中。所以下載了一些檔案雖然你用防毒己經掃過,確定無毒,可是執行之後,依
然中毒,就是這個道理。所以斷開網路再來掃檔,經常一隻隻"可愛"的小朋友就現形了,真是屢試不爽也。
二、使用要點
打開ie>工具>網際網路選項>按圖操作就可,就先清空再說吧。這是以ie7來做解說,ie6也是同樣道理。
| Quote: | |
|
一、清理檔案下載資料夾
上網由於網頁登入或是看一些特效的網頁,必須自動下載一些ActiveX或是Java applets在你的硬碟的暫存檔中
這些暫存檔也會含有惡意的程式的啟動項目,而且這些暫存檔上網之後也變成無用,存放在系統中是百害而無一
利,所以如果沒有任何的清理工具,也可用系統本身就有一磁碟清理來進行清除的動作。
二、使用要點
開始>所有程式>附屬應用程式>系統工具>清理磁碟。按圖操作就可。
或是你可從開始>執行>輸入cleanmgr
| Quote: | |
|
一、清理使用者的暫存夾
由於程式的應用與執行,系統會產生使用者帳戶的暫存夾,而你執行了有病毒的檔案,所以系統產生相關的目
錄之外,也會在暫存夾產生分身的暫存夾,有時在正常模式下,有些暫存夾也是無法移除,必須到安全模式下
來做這樣的動作,雖然它不見得是病毒,但除惡務盡,反正這些暫存檔也沒用,就進行清理吧。如果是頑固的
惡意程式還必須有專門的工具來進行移除(有關這個部份另專篇來簡介)。
二、使用要點
點擊我的電腦>網址列(有時會不見了,先將鎖定工具列的勾勾去掉,再勾選網址列,再工具列上托曳就會出現)
按圖操作就可。
| Quote: | |
|
一、顯示隱藏的檔案資料夾或是作業系統檔夾。
打開檔案的副檔名或是隱藏資料夾或是系統夾,就必須按照這個步驟來處理,並在相應的項目上執行你要的動
作,當然你也可用命令提示字元,在Dos下用指令來找,並刪除檔案(這屬於進階應用,現就不詳述了)。
近日病毒非常的盛行修改你的隱藏資料夾的登錄檔,讓你按下列的方法也無法打開隱藏資料夾,有一個手
動的方法,請將下列的"code"按copy,並打開記事本貼上,請另存為xx.reg (例如→ show.reg或是fix.reg)
按確定之後,檔案會變成
像這個樣子 , 直接執行就可打開。
CODE: [Copy to clipboard]二、操作要點
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105
開始>控制台>資料夾選項>檢視>在相應要打開的資料夾上點擊或是選取就可。
按確定後回到C磁碟,可以看到Program Files資料夾變得有些透明,按資料夾右鍵->內容把隱藏的勾去掉即可正常顯示了。
處理後完,記得按原路回去,將其改回預設的隱藏。打開隱藏的資料夾與系統夾之後就用系統內建的搜尋功能來搜尋毒檔,並刪除相關的檔案與資料夾了,建議刪除的時侯最好用相關的功具來刪 除,現在的毒檔再生能力己非吳下阿蒙了。當然如果剛好手中無工具時,則進入安全模式來刪除,並用搜尋的功能看是否己經刪除了毒檔。
| Quote: | |
|
一、打開登錄編輯器
登錄編輯器是一個系統的靈魂,Windows的所有指令的指派與相關鏈的鍵接皆由這裡來進行任務的執行與派遺
,所以病毒與惡意程式也是從這裡竊取行政指揮權,卸載你的防毒軟體、癱瘓你的查殺工具、制造系統假消息
、偽裝系統工具、執行惡意檔案下載或是網頁自動連結、綁架你的IE等。皆由這理來發號司令。因此對這些
惡意的登錄檔就時須加以修改或是刪除,去除相對應的機碼。但有時登錄編輯器由於木馬病毒之關係或是機碼
的誤刪,造成無法開啟,這時可以打開記事本,將下列的 code貼上另存為xx.reg(例如 open.reg),按確定之後
檔案會變成
像這樣的圖示, 直接執行就可。或是下載: http://securityresponse.symantec.com/avcenter/UnHookExec.inf來修復。下載之後,
右鍵點擊檔案再按安裝就可。
CODE: [Copy to clipboard]二、操作要點
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
開始>執行>輸入regedit>按確定,就可直接進入登錄編輯器。對於要尋找的檔案資料夾、登錄值或是機碼
可以用尋找的方式來搜尋,例如你中了病毒,知道何種病毒,在手工移除的時侯, 你就可用搜尋來替你找到病毒的位置,在相應地方的右邊進行右鍵刪除正在運行的程式。
| Quote: | |
|
一、如何覆蓋檔案
覆蓋檔案在破解程式中是常用的方法,但是它也可以在解毒或是刪除惡意檔案中立下汗馬功勞。不論在資料
夾或是DLL檔中,有些頑固的檔案著實刪除不了,應用一些小工具也無法刪除,這個時侯唯一的方法就是在
別的資料夾中制成一個同樣檔案的DLL檔或是資料夾,進行覆蓋之時,可把惡意檔案按右鍵>內容>將共享打上
勾勾,並將0 Kb的DLL置換惡意檔案524kb的DLL,如圖所示。
二、操作要點
為了準確替換,先將惡意的DLL更換屬性(有時不改也可替換),並在該DLL點擊,按Ctrl鍵托曳要覆蓋的檔案
至惡意程式的資料夾,這時必須出現一個置換的視窗,再按"是"就可了。有時侯用自己的電腦也無法覆蓋好
的檔案來移除毒檔,這個時侯也可用別的電腦來開機,進行覆蓋了你的硬碟中的DLL了。
| Quote: | |
|
一、如何在DOS或是CMD下移除病毒
病毒的移除除了用工具外,也可用命令提示字元來移除。我們必須用兩個簡單的命令,第一個"ATTRIB",它是來移除病毒的屬性,第二個"DEL",它是來刪除病毒檔的命令。
二、使用要點
先將病毒的屬性去除,再來刪除病毒。
CODE: [Copy to clipboard]
attrib -s -h -r (-s代表去除系統屬性,-h代表去除隱藏屬性,-r代表去除唯讀屬性)(記往!!attrib之後必須空一格,餘類推)
CODE: [Copy to clipboard]
del virus.dll (virus是病毒檔名的代表,刪除時必須輸入你的病毒名稱,可不要把俺所寫的抄進去,那是殺不了的):lol:
| Quote: | |
|
如果你覺得在DOS下使用語法不是那麼熟練,那麼還有一個方法,就是打開記事本,將要刪除的指令直接貼在記事本,另存新檔,存檔類型為"所有檔案",檔名為"xx.bat" (例如為remove.bat)。確定後就會成為這個圖示
。直接點擊執行,就可達到在Dos移除病毒的效果。下面是指令示範。
CODE: [Copy to clipboard]
attrib -r -h -s C:\Program Files\TTC.dll
del C:\Program Files\TTC.dll
**這個教學是以前的作品,如覺合適,加減使用,禁止盜連與轉帖**
| #2 節省網頁資源,這個相關貼就直接發在第一樓。 一、如何來移除頑固的毒檔 不管毒檔或是木馬,它有兩個最主要的項目。 一、是啟動的項目,二、是實體的資料夾。啟動項目這個要到登錄檔來移除或是修改被它纂改 值。而實體資料夾又經常躲在windows/system32下的目錄或是在系統還原資料夾。所以經常進入安全模式刪除之後,回復正常模式,資料夾 又回來了,這時就必須使用一些特殊的工具來移除檔案,這些工具有Killbox、Unlocker、IceSword、或是費爾木馬專殺工具( Powerrmv)等。 二、使用要點 費爾查殺工具,使用了一個"禁止檔案再次生成"的工具,它的功能是使用我們系統中同一個資料夾中不可以有相同檔名的資料夾,所以它替 換毒檔時,就會自動產生一個同檔名的資料夾,讓毒檔不能再次生成,而達成移除毒檔的使命。 有許多木馬會把自己的檔名故意偽裝成和正常的檔案名很接近,比如 svch0st.exe(木馬)->svchost.exe(正常)、Expl0rer.exe(木馬)->Explorer.exe(正常) 、intrenat.exe / internat.exe(木馬)->internet.exe(正常)等等。特別是數位0幾乎和大寫字母O一樣,很容易讓人看錯,所以一定要注意如何區分它們。 下載:http://dl.filseclab.com/down/powerrmv.zip
一、如何解決不能連線的問題 病毒或是木馬經常會改變首頁的位置,並且和瀏覽器捆綁,造成我們雖然解決了首頁的問題,但木馬仍然殘留在我們ie上面,雖然移除木馬的主體 ,但還是有殘兵敗將遺留在登錄檔,這個時侯我們就可用LSP-Fix來進行修復,將ie上的所有捆綁的殘留份子進行清理。在清理當 中會造成登錄檔的損毀與破壞,這時我們就可再用"Winsockxpfix"來修復受損的連線登錄檔。例如你用HijackThis來掃描電腦發現 在010的項目中有下列的對應。就可按下列動畫圖中LSP-Fix 將"quartz32"從左邊移到右邊,按"Finish"移除。
二、使用要點 使用時,請斷開網路的連接,並進入安全模式,勾選進階使用"I know what i'm doing"(俺知俺在幹啥事)。 LSP-Fix勾選進階使用之後,就可將不要的檔案進行部份或是全部刪除,以免有殘留份子,造成木馬或是病毒的殘留。當然修復完後也可用Winsockxpfix 來修復受損的登錄檔,這個方法不但對木馬病毒造成不能上網有效,也對一般移除軟體或是不小心誤刪了登錄檔造成不能上網,也可以使用。 LSP-Fix 下載:http://www.cexx.org/LSPFix.exe (這個修復只適合 xp)其它的系統請進官網下載:http://www.cexx.org/lspfix.htm Winsockxpfix下載:http://www.pchell.com/downloads/WinsockXPFix.exe
一、如何用ATF-Cleaner3來移除Java cache Java cache經常會隱藏眾多的malware,但如果使用window內建的工具,經常需要管理員的權限才可以來做 這些工作,但這個工具卻可輕鬆達成使命,並且徹底的清理上網後產生的cookies, history,及download history 與visited links等。 還有就是大部份的人的Java過於老舊,容易造成木馬與病毒的入侵,請更新為Java Runtime Environment (JRE) 6u4,請到下面下載。 下載:http://java.sun.com/javase/downloads/index.jsp,要知你的java是否老舊?開啟IE>工具>網際網路選項>進階就可看到。 二、使用要點 本工具支援IE,Firefox,Opera,使用時只要選擇"Select All"再按"Empty Selected"就可清除網頁活動所留下的 所有痕跡,並以管理員的權限來處理清理的工作。本工具適合XP與windows 2000 ATF-Cleaner 3下載:http://www.atribune.org/ccount/click.php?id=1
一、如何用OTMoveIt來移除大量的毒檔與dll 有時中毒時需要來刪除一些毒檔或是dll,這個工具是一個完全可以讓你將這些檔案一齊放進來一次解決的好工具 並與ATF-Cleaner3一起來應用,可以先用ATF再使用OTMoveIt。 二、使用要點 將你掃瞄後的報表或是到網上掃毒完後形成的log,互相比對找出一些毒檔與啟動的頑固dll直接複制它的路徑,並貼 上OTMoveIt上,並按MoveIt就可退出。再移除當中有時一些檔案必須重新啟動,會出現對話框,你只要按"Yes"就可 移除之後,它會在根目錄(一般在C磁碟)形成C:\_OTMoveIt\MovedFiles\mmddyyyy_hhmmss.log( mmddyyyy_hhmmss是本 工具掃瞄的日期),病毒移除之後,就可刪除,而這個日誌也可讓你來判斷是否有將移除的毒檔移除。 OTMoveIt 下載:http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
一、如保利用Vundofix來移除被劫持文件Dll 當Winlogon.exe被惡意軟體劫持的時侯,有時會發現連Unlocker等工具來移除時皆無法去除,因為在解鎖時系統就會重新 啟動,造成功敗垂成。而這個小工具確可以解決360safe、超級兔子、arswp、優化大師、AD-Aware等不能完成的使命。 Vundofix還可解決Vundo Trojan綁架瀏覽器、允許遠端干預、下載未經請求的檔案等等的威脅。 二、使用要點 打開程式進行搜索(要一點時間進行搜索),並執行清除了完成了。如果遇到刪除檔案要求重開機,你就重開唄!!,為了解說方便就找了一個中文版做為說明,這個軟體更新很快,平常不用下載,有需要時再下載使用。 Vundofix 下載:http://www.atribune.org/ccount/click.php?id=4
**這個教學是以前的作品,如覺合適,加減使用,禁止盜連與轉帖** |
