2007年7月27日 星期五

病毒感染的現況(Effect of Computer Virus )

最近常見的病毒感染及影響,筆者在此並不對病毒名多加闡述(相關變種名太多,各家軟體使用的名稱也未統一),只針對症狀與解決方法加以說明,其實解毒有一定的原則,在先前手動移除病毒的文章中已經有說過那三步驟,也就請各位移駕去看一下該篇的內容(也是本部落格最多人點閱的一篇)

首先,筆者要提醒各位,最近那msn相關的病毒又開始發作,所以當你msn名單中有人突然傳送網頁連結、檔案...等,請先確認對方對方有傳送的動作再加以接受,否則你的親朋好友馬上就會接到你傳出去的大量訊息與連結,這是在最近很常見的病毒感染途徑

除此之外,最多人中毒的途徑還是Email和一些含毒網頁的攻擊,雖然已經有人加裝了許多防毒軟體,但是對於使用者的「主動點擊」和使用習慣,防毒軟體也是束手無策,畢竟防毒軟體越完善,你在使用上的便利性就越低

現在就直接進入議題吧!


第一種:無法正常上網

症狀:重新開機後,無法正常上網,而「一般」的網路設定檔也未被竄改

檢查方式:
1. 開啟命令提示字元(執行 --> cmd)。
2. ping hinet的dns主機(ping 168.95.1.1)。
 正常的話會發現ping 168.95.1.1 with 32 bytes of data...
 如果有被病毒竄改的現象,會發現內容會有中文亂碼的現象...

解決方式:
1. 使用LSP-Fixwinxpsockfix軟體來重置系統winsock設定(重新開機)
2. winxp pro可利用 netsh winsock reset指令來重置(不一定能生效)

狀況解釋:因為病毒會使網路停擺(竄改hosts、route table或winsock設定),造成無法上網更新病毒碼,對於電腦的危害較大,經常會衍生許多相關問題,甚至會造成某些防毒軟體因此而失去效用

第二種:偽裝成卡巴斯基(KIS)防毒軟體

症狀:防毒程式抓到avp.exe(卡巴斯基的執行檔)為病毒,但無法刪除

檢查方式:
1. 檢視該檔案的位置是否為安裝位置
(預設值為C:\Program Files\Kaspersky Lab\Kaspersky Internet Security x.0
2. 檢視登錄檔(regedit):HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit中是否有加入如:C:\windows\avp.exe的數值
3. 檢視是否在啟動(HKEY_LOCAL_MACHINE或CURRENT_USER)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)中有
C:\windows\avp.exe的程式執行

解決方式:
1. 先參考
手動移除病毒的三步驟。
2. 將登錄檔中的數值資料刪除。
3. 進入安全模式後將該非原有的avp.exe刪除。
4. 全系統掃毒,將其它相關檔案刪除。

狀況解釋:卡巴斯基的防毒軟體變得十分熱門,所以有人利用它的相同檔名要矇混過關,同時讓系統中的service.exe執行(造成無法在正常模式刪除),因此這類病毒就要用一點小手段才不會造成防毒程式無法清除

第三種:3721網路實名的干擾

症狀:發現自己的IE多了一個3721的元件,並且網路速度明顯受到影響

檢查方式:在啟動裡會多一個名為cnsmin的相關字串

解決方式:
1. 重新開機進入安全模式(F8)
2. 開啟登錄檔(執行 --> regedit)
3. 刪除 HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / WINDOWS / CURRENTVERSION / RUN中的CnsMin
4. 刪除 HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / INTERNET EXPLORER / ADVANCEDOPTIONS 中的!CNS
5. 刪除HKEY_LOCAL_MACHINE / SOFTWARE的3721資料夾.
6. 刪除HKEY_CURRENT_USER / SOFTWARE中的3721資料夾
7. 刪除HKEY CURRENT USER / SOFTWARE / MICROSOFT / INTERNET / EXPLORER / MAIN中每一個CNS開頭的檔案
8. 搜尋(CTRL+F)CNS*.*,將CNS的相關檔案刪除
9. 刪除完登錄檔的數值後,刪除所有在C:WINNT/DOWNLO~1 或C:WINDOWS/DOWNLO~1 下包含「cns」和「3127」的檔案都刪除掉。
10. 進入安全模式無法刪除時,請進入安全模式的命令模式(cmd)下即可刪除。
11. 刪除 Internet Explorer 工具列的圖示(HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt及Extensions
12. 刪除相關檔案和登錄檔值後重新啟動電腦,就不會有 3721 網絡實名。

狀況解釋:3721這東西其實是對岸所使用的一種瀏覽器外掛,它不算是病毒,比較接近木馬,它會將資料導向至3721的相關網站,所以對於網路使用上的影響較大喔!

PS:避免3721這種外掛,也可以利用改寫hosts檔來做防範
(C:\WINDOWS\system32\drivers\etc\hosts)
也就是把www.3721.com指向127.0.0.1(本機)的方式來避免受害此方法也可以用來避免進入一些危險網站,有興趣的可以去Google一下相關用法,一定會受益良多!