【教學】木馬病毒的建議處理程序

[rien]

不曉得看倌有沒有發現到一個現象，就是最近流行的木馬病毒經常無法順利移除，那是因為除了已知的病毒檔以外，它還有另一支監控程式在記憶體中運作，因此即使你將病毒檔案刪除，很快就會再生出另一支同名檔案來取代。很奇怪的狀況就是，防毒軟體對於這種型態的木馬病毒幾乎都只能找出病毒檔案，卻無法將監控程式一併偵測出來，因此每每造成解毒失敗。本文的目的就在於教導各位如何自行解決這類的木馬病毒。


1.首先請到http://www.majorgeeks.com/download3155.html下載HijackThis，直接執行會出現如下畫面：



請點取Do a system scan and save a logfile按鈕，此時HijackThis會記錄目前正在執行的程序並搜尋所有程序的載入點及其他相關設定，當搜尋結束會蹦出如下的文字檔案，本檔案即是HijackThis的log檔：




2.請根據log檔內容檢查每支執行程序的名稱或載入點位置是否有異常現象，最簡單的方法是透過Google等搜尋引擎查詢：




3.當找出問題程式後，請先更新您的防毒軟體及防間諜軟體，因為接下來會進入安全模式進行完整掃描。假如您的防毒軟體沒辦法更新，應該是hosts檔內容被修改過，讓原本應該對外連線的網址指向本機所致，此時先別擔心，後續會教您如何解決此問題。


4.請重新開機並進入安全模式下，請再執行HijackThis，這次點取Do a system scan only按鈕，接著會出現如下面：



請勾選方才判讀出的問題敘述，然後點取左下方的Fix checked按鈕，將問題程序的載入點刪除。


5.接著關閉HijackThis，用手動的方式刪除問題程序的檔案。例如PWSteal.Lineage(T1dll.dll)病毒，其監控程序檔為svhost32.exe，此外防毒軟體判定的病毒檔案是t1dll.dll，請啟動檔案總管切換到以上兩支檔案的所在目錄予以手動刪除。


6.接著請啟動您的防毒軟體及防間諜軟體進行完整掃瞄，將所有病毒餘孽全部清除。

假如您方才無法更新病毒碼，此時請檢查%systemroot%\system32\drivers\etc\hosts檔內容，正常的hosts檔內容應該如下圖所示：
(P.S. %systemroot%是指Windows的安裝目錄，例如WindowsXP的預設安裝目錄C:\Windows，或Windows 2000的預設安裝目錄C:\Winnt)



在一個正常且沒有經過使用者編修的hosts檔中，最後一行應該是如下所示：
127.0.0.1 localhost

假如您在上述行以下還發現其他敘述，例如前方欄為防毒廠商的domain (以卡巴斯基來說，公司的註冊domain就是kaspersky.com)，後方欄卻是127.0.0.1，這就是造成防毒軟體無法正常更新的原因，請一概予以刪除，只留下原有127.0.0.1 localhost這一行就可以了。

修改完成後請重新開機回到正常模式下進行更新，然後再回到安全模式下進行完整掃描。


7.最後請重新開機回到正常模式下，再用防毒軟體及防間諜軟體各做一次完整掃瞄，假如沒再發現該病毒蹤影，就代表您所中的木馬病毒已經被成功移除。

[阿 土]

請問這幾篇不錯的教學都是您的原創文章嗎 ?
若是的話要幫您加強曝光一下
因為應該有很多人為這方面所苦惱
這些文章或許可給他們當作參考並進而解決自身問題

[rien]

沒錯，這些都是我寫的文章，原本只張貼在另一個論壇上