【問題】關於掃毒模式~

**quell** · 2008-04-13, 01:57 AM

1.安全模式下的掃描是否真的有效?
2.bootscan有比較好嗎?
3.聽說卡巴能製作光碟開機片直接掃描硬碟，是真的嗎?效果如何?
4.以上這些掃描模式，哪幾家辦得到?還是說可有可無?

不針對哪一家防毒發言，只想知道答案~

**ifchen** · 2008-04-13, 03:09 AM

其實呢，這些模式的差別在於"殺的掉"或"殺不掉"而已。

在防毒軟體發現病毒後，通常都可以將帶毒的檔案砍掉或清除，但有些"正在執行"的帶毒檔案卻無法砍掉。
而最簡單的方法就是不要讓病毒執行，也就是安全模式。
因為安全模式只會啟動Windows最基本的程序，一般來說是不會啟動多餘的部分。也就不會啟動帶毒的檔案，當然也因為帶毒檔案沒執行就可以刪除了。

接下來的部分就看各家防毒的功力辣。

**quell** · 2008-04-13, 10:38 AM

作者：ifchen

其實呢，這些模式的差別在於"殺的掉"或"殺不掉"而已。

在防毒軟體發現病毒後，通常都可以將帶毒的檔案砍掉或清除，但有些"正在執行"的帶毒檔案卻無法砍掉。
而最簡單的方法就是不要讓病毒執行，也就是安全模式。
因為安全模式只會啟動Windows最基本的程序，一般來說是不會啟動多餘的部分。也就不會啟動帶毒的檔案，當然也因為帶毒檔案沒執行就可以刪除了。

接下來的部分就看各家防毒的功力辣。

您回答的這部分我都知道，也知道部分病毒也不是安全模式下就能殺的，依附在開機系統檔上的就不行，或許bootscan能解決這個問題，但有可能因此誤刪系統檔案導致無法開機~
但有人說，重啟刪除就能替代安全模式掃描，真的是這樣嗎?那為何老是有些防毒老是被批評重啟還是刪不掉呢?
希望有更透徹了解的人幫忙回答一下~

**harry_chang2003** · 2008-04-13, 11:06 AM

如果找到的不是病毒核心檔案....

只是一個小元件,殺掉後某些病毒會自動生成

當然重起殺毒就無效(包刮安全模式殺毒照樣無效)

**quell** · 2008-04-13, 11:22 AM

作者：harry_chang2003

如果找到的不是病毒核心檔案....

只是一個小元件,殺掉後某些病毒會自動生成

當然重起殺毒就無效(包刮安全模式殺毒照樣無效)

sorry~我指的是同一病毒檔案，不是自動生成的~
不過，對於自動重生的病毒又有何解法呢?

**harry_chang2003** · 2008-04-13, 11:24 AM

作者：quell

sorry~我指的是同一病毒檔案，不是自動生成的~
不過，對於自動重生的病毒又有何解法呢?

病毒檔案重新開機99%一定殺的掉,除非防毒軟體本身設計不良....
無法病毒執行前刪除....

對於自動生成的病毒,就找到病毒原檔就好了阿....

**quell** · 2008-04-13, 12:18 PM

作者：harry_chang2003

病毒檔案重新開機99%一定殺的掉,除非防毒軟體本身設計不良....
無法病毒執行前刪除....

對於自動生成的病毒,就找到病毒原檔就好了阿....

1.就我所碰到的情況，幾乎每一款防毒都有遇過類似情形，小紅傘除外，因為我沒真正去用過這一套，但有其他幾套發生的機率特別高~
2.對於自動生成的病毒，我也知道找到原檔就能解決，但一般使用者該如何找出來?還是說哪套防毒軟體有協助功能或該使用哪種軟體來找?我是有看過有幾個論壇在用SRENG協助判讀，但那似乎須有一點功力才看得懂，有簡單一點的方法嗎?

**warzero** · 2008-04-13, 06:04 PM

要怎麼判斷哪個是病毒，幾乎還是必須要先瞭解正常的進程和路徑。

可以手動用 Process Explorer 或 SRENG 去查出進程的公司名、路徑等資料。
最後再用 google 或 Process Library、HijackThis 之類的網頁去查，最後再用防毒軟體去掃瞄來確認。
要簡單點的話，也可以使用 WinTask、Hijackthis 等查進程軟件去判斷。

當然也有些特殊情況如病毒是驅動程式型的，大概因為在使用著，就連防毒軟體也無法偵測出來。
而且有時候這類型的病毒還會在安全模式載入，導致此類病毒更不易移除。

也有些病毒設計得比較笨，它可以允許你刪除甚至改名。只是之後會立刻再生回來。
這時只要製作出同名的唯讀的空文件，覆蓋過去，因為已經是唯讀，病毒就沒辦法再寫入下去了。
下次開機時會因為找到"無毒"屬性的病毒，就無法發作了。到時再一口氣刪除相關的病毒就行。
當然此方法只能適用在類似的病毒上而已。

至於重啟刪除的方式，有可能那個刪除程式比病毒慢一步載入的話，所以無法順利刪除到。

比較通用的方法，就是最好徹底將病毒從記憶體完全移除。
可以用 Process Explorer 來 close handle。也可以用 Advanced Process Manipulation 來 unload DLL。
一旦從記憶體移除，原本無法偵測到的驅動型病毒，防毒軟體也可以立刻偵測出來了。

遇到非常頑固的，最好的辦法還是接去另一台乾淨的電腦或系統開機碟去掃瞄刪除。
不管病毒多強都好，如果沒辦法從開機時被載入，就是病毒的死期。

**quell** · 2008-04-14, 12:03 PM

作者：warzero

要怎麼判斷哪個是病毒，幾乎還是必須要先瞭解正常的進程和路徑。

可以手動用 Process Explorer 或 SRENG 去查出進程的公司名、路徑等資料。
最後再用 google 或 Process Library、HijackThis 之類的網頁去查，最後再用防毒軟體去掃瞄來確認。
要簡單點的話，也可以使用 WinTask、Hijackthis 等查進程軟件去判斷。

當然也有些特殊情況如病毒是驅動程式型的，大概因為在使用著，就連防毒軟體也無法偵測出來。
而且有時候這類型的病毒還會在安全模式載入，導致此類病毒更不易移除。

也有些病毒設計得比較笨，它可以允許你刪除甚至改名。只是之後會立刻再生回來。
這時只要製作出同名的唯讀的空文件，覆蓋過去，因為已經是唯讀，病毒就沒辦法再寫入下去了。
下次開機時會因為找到"無毒"屬性的病毒，就無法發作了。到時再一口氣刪除相關的病毒就行。
當然此方法只能適用在類似的病毒上而已。

至於重啟刪除的方式，有可能那個刪除程式比病毒慢一步載入的話，所以無法順利刪除到。

比較通用的方法，就是最好徹底將病毒從記憶體完全移除。
可以用 Process Explorer 來 close handle。也可以用 Advanced Process Manipulation 來 unload DLL。
一旦從記憶體移除，原本無法偵測到的驅動型病毒，防毒軟體也可以立刻偵測出來了。

遇到非常頑固的，最好的辦法還是接去另一台乾淨的電腦或系統開機碟去掃瞄刪除。
不管病毒多強都好，如果沒辦法從開機時被載入，就是病毒的死期。

您的回答與我原本的認知相同，但因為有聽到不同的說法，所以再度發問看有沒有人有不同的論點或可確定的真相~
但其中有個小小問題，所謂的記憶體病毒，該怎麼有效清除?因為沒有特別去研究，總有個疑問在，將硬碟拔下裝到別台電腦可以清除儲存在記憶體中的病毒嗎?那跟光碟開機掃毒有何不同?記憶體不是關掉電源就釋放掉了嗎?為何重新開機又會被載入呢?還是說病毒根本是儲存在開機磁區中呢?
依照以上的說法，掃毒優劣排序是否應該是光碟開機>BOOTSCAN>安全模式>正常模式?
請大家幫忙解答~謝謝~

**harry_chang2003** · 2008-04-14, 06:16 PM

作者：quell

1.就我所碰到的情況，幾乎每一款防毒都有遇過類似情形，小紅傘除外，因為我沒真正去用過這一套，但有其他幾套發生的機率特別高~
2.對於自動生成的病毒，我也知道找到原檔就能解決，但一般使用者該如何找出來?還是說哪套防毒軟體有協助功能或該使用哪種軟體來找?我是有看過有幾個論壇在用SRENG協助判讀，但那似乎須有一點功力才看得懂，有簡單一點的方法嗎?

1
a.那就是該掃毒軟體的瑕疵,殺毒程式載入的不夠快
b.並非找到原檔案
2 找出病毒檔案的最快方法......掃毒軟體,多用幾家線上掃毒總是會掃到的.....