【教學】木馬病毒的標準處理程序



贊助商連結


rien
2005-09-05, 09:50 AM
1.請到http://www.majorgeeks.com/download3155.html下載HijackThis,直接執行會出現如下畫面:

http://tinypic.com/acy69h.gif

請點取Do a system scan and save a logfile按鈕,此時HijackThis會記錄目前正在執行的程序並搜尋所有程序的載入點及其他相關設定,當搜尋結束會蹦出如下的文字檔案,本檔案即是HijackThis的log檔:

http://tinypic.com/acy6id.gif


2.請根據log檔內容檢查每支執行程序的名稱或載入點位置是否有異常現象,最簡單的方法是透過Google等搜尋引擎查詢:

http://tinypic.com/acy81z.gif


3.當找出問題程式後,請先更新您的防毒軟體及防間諜軟體,因為接下來會進入安全模式進行完整掃描。假如您的防毒軟體沒辦法更新,應該是hosts檔內容被修改過,讓原本應該對外連線的網址指向本機所致,此時先別擔心,後續會教您如何解決此問題。


4.請重新開機並進入安全模式下,請再執行HijackThis,這次點取Do a system scan only按鈕,接著會出現如下面:

http://tinypic.com/acy8hx.gif

請勾選方才判讀出的問題敘述,然後點取左下方的Fix checked按鈕,將問題程序的載入點刪除。


5.接著關閉HijackThis,用手動的方式刪除問題程序的檔案。例如病毒防治版置頂的PWSteal.Lineage(T1dll.dll)病毒,其問題程序檔案為svhost32.exe,此外防毒軟體判定的病毒檔案是t1dll.dll,請啟動檔案總管切換到以上兩支檔案的所在目錄予以手動刪除。


6.接著請啟動您的防毒軟體及防間諜軟體進行完整掃瞄,將所有病毒餘孽全部清除。

假如您方才無法更新病毒碼,此時請檢查%systemroot%\system32\drivers\etc\hosts檔內容,正常的hosts檔內容應該如下圖所示:
(P.S. %systemroot%是指Windows的安裝目錄,例如WindowsXP的預設安裝目錄C:\Windows,或Windows 2000的預設安裝目錄C:\Winnt)

http://tinypic.com/acyb8z.gif

在一個正常且沒有經過使用者編修的hosts檔中,最後一行應該是如下所示:
127.0.0.1 localhost

假如您在上述行以下還發現其他敘述,例如前方欄為防毒廠商的domain (以卡巴斯基來說,公司的註冊domain就是kaspersky.com),後方欄卻是127.0.0.1,這就是造成防毒軟體無法正常更新的原因,請一概予以刪除,只留下原有127.0.0.1 localhost這一行就可以了。

修改完成後請重新開機回到正常模式下進行更新,然後再回到安全模式下進行完整掃描。


7.最後請重新開機回到正常模式下,再用防毒軟體及防間諜軟體各做一次完整掃瞄,假如沒再發現該病毒蹤影,就代表您所中的木馬病毒已經被成功移除。