病毒感染的現況（Effect of Computer Virus ）

最近常見的病毒感染及影響，筆者在此並不對病毒名多加闡述（相關變種名太多，各家軟體使用的名稱也未統一），只針對症狀與解決方法加以說明，其實解毒有一定的原則，在先前手動移除病毒的文章中已經有說過那三步驟，也就請各位移駕去看一下該篇的內容（也是本部落格最多人點閱的一篇）

首先，筆者要提醒各位，最近那msn相關的病毒又開始發作，所以當你msn名單中有人突然傳送網頁連結、檔案...等，請先確認對方對方有傳送的動作再加以接受，否則你的親朋好友馬上就會接到你傳出去的大量訊息與連結，這是在最近很常見的病毒感染途徑

除此之外，最多人中毒的途徑還是Email和一些含毒網頁的攻擊，雖然已經有人加裝了許多防毒軟體，但是對於使用者的「主動點擊」和使用習慣，防毒軟體也是束手無策，畢竟防毒軟體越完善，你在使用上的便利性就越低

現在就直接進入議題吧！

第一種：無法正常上網

症狀：重新開機後，無法正常上網，而「一般」的網路設定檔也未被竄改

檢查方式：
1. 開啟命令提示字元（執行 --> cmd）。
2. ping hinet的dns主機（ping 168.95.1.1）。
　正常的話會發現ping 168.95.1.1 with 32 bytes of data...
　如果有被病毒竄改的現象，會發現內容會有中文亂碼的現象...

解決方式：
1. 使用LSP-Fix或winxpsockfix軟體來重置系統winsock設定（重新開機）
2. winxp pro可利用 netsh winsock reset指令來重置（不一定能生效）

狀況解釋：因為病毒會使網路停擺（竄改hosts、route table或winsock設定），造成無法上網更新病毒碼，對於電腦的危害較大，經常會衍生許多相關問題，甚至會造成某些防毒軟體因此而失去效用

第二種：偽裝成卡巴斯基（KIS）防毒軟體

症狀：防毒程式抓到avp.exe（卡巴斯基的執行檔）為病毒，但無法刪除

檢查方式：
1. 檢視該檔案的位置是否為安裝位置
（預設值為C:\Program Files\Kaspersky Lab\Kaspersky Internet Security x.0）
2. 檢視登錄檔（regedit）：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit中是否有加入如：C:\windows\avp.exe的數值
3. 檢視是否在啟動（HKEY_LOCAL_MACHINE或CURRENT_USER）\SOFTWARE\Microsoft\Windows\CurrentVersion\Run）中有C:\windows\avp.exe的程式執行

解決方式：
1. 先參考手動移除病毒的三步驟。
2. 將登錄檔中的數值資料刪除。
3. 進入安全模式後將該非原有的avp.exe刪除。
4. 全系統掃毒，將其它相關檔案刪除。

狀況解釋：卡巴斯基的防毒軟體變得十分熱門，所以有人利用它的相同檔名要矇混過關，同時讓系統中的service.exe執行（造成無法在正常模式刪除），因此這類病毒就要用一點小手段才不會造成防毒程式無法清除

第三種：3721網路實名的干擾

症狀：發現自己的IE多了一個3721的元件，並且網路速度明顯受到影響

檢查方式：在啟動裡會多一個名為cnsmin的相關字串

解決方式：
1. 重新開機進入安全模式(F8)
2. 開啟登錄檔（執行 --> regedit）
3. 刪除 HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / WINDOWS / CURRENTVERSION / RUN中的CnsMin
4. 刪除 HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / INTERNET EXPLORER / ADVANCEDOPTIONS 中的!CNS
5. 刪除HKEY_LOCAL_MACHINE / SOFTWARE的3721資料夾.
6. 刪除HKEY_CURRENT_USER / SOFTWARE中的3721資料夾
7. 刪除HKEY CURRENT USER / SOFTWARE / MICROSOFT / INTERNET / EXPLORER / MAIN中每一個CNS開頭的檔案
8. 搜尋（CTRL+F）CNS*.*，將CNS的相關檔案刪除
9. 刪除完登錄檔的數值後，刪除所有在C:WINNT/DOWNLO~1 或C:WINDOWS/DOWNLO~1 下包含「cns」和「3127」的檔案都刪除掉。
10. 進入安全模式無法刪除時，請進入安全模式的命令模式（cmd）下即可刪除。
11. 刪除 Internet Explorer 工具列的圖示（HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt及Extensions）
12. 刪除相關檔案和登錄檔值後重新啟動電腦，就不會有 3721 網絡實名。

狀況解釋：3721這東西其實是對岸所使用的一種瀏覽器外掛，它不算是病毒，比較接近木馬，它會將資料導向至3721的相關網站，所以對於網路使用上的影響較大喔！

PS：避免3721這種外掛，也可以利用改寫hosts檔來做防範
（C:\WINDOWS\system32\drivers\etc\hosts）
也就是把www.3721.com指向127.0.0.1（本機）的方式來避免受害此方法也可以用來避免進入一些危險網站，有興趣的可以去Google一下相關用法，一定會受益良多！