philxyz0316

SREng操作簡介及惡意程式處理流程簡介。(包括十二種常用工具介紹)


SREng系統工具，勝過HijackThis的系統工具，可以處理現在大多數的威脅造成的問題，以下是資料整理過後的簡介。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。   (官方網站。)

▲由於圖片眾多，若有顯示不出圖片請點右鍵顯示圖片，或者重新整理。



首先介紹幾個會使用到的工具。
◣任何工具都是兩面刀，可以解決頑固木馬，也可以輕易解決系統檔案，操作請務必小心謹慎。◢

引用:

SREng，強大的系統工具，會在此篇文章裡進行介紹。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。  (官方載點。)

引用:

Icesowrd冰刃，能偵測rookit技術，能進行dll卸載的強大工具程式。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。  (由於舊版本有產生一些BUG，所以改連結作者網站提供最新版本下載。)
作者網站下載及開啟速度有些緩慢，所以新增了一個而外載點提供下載，訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。。

引用:

Process Explorer，一款功能強大的程式，可以查詢dll注入狀況，還可以用來關閉進程，檢查程序資源使用量。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。   (官方載點)

引用:

WinsockXPFix，用來修復移除LSP之後無法連線的問題。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。   (只適用於WindowsXP)

引用:

LSP-Fix ，用來解決Winsock Provider項目，不過可能會造成無法連線問題，所以需要使用WinsockXPFix修復。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。       (只適用於WindowsXP)

(WinsockXPFix及LSP-Fix，若作業系統不是XP，請自行進入下述網站下載對應程式。)
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

引用:

Unlocker，一款中文介面的刪除工具，雖然操作方便，不過需要安裝，詳細操作請見常見問題的問題(3)。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

引用:

Tweak UI，一款由Microsoft出品的工具，裡面可以設置很多系統相關，在此只拿來作免疫用途。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

引用:

KillBox，相信不少人都使用過這款工具，刪除檔案的好幫手。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

引用:

Gmer，功能強大的工具，可惜操作上比較複雜，所以在本文只會拿來偵測Rookit用。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

引用:

syscheck，由對岸開發的軟件，操作介面人性化，支援功能頗多。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
▲此軟件為簡體中文，在正體中文作業系統上會顯示亂碼，不過不影響操作，若要改善此現象，可以使用Microsoft AppLocale。

引用:

ArPick，非常方便的文件提取器，只需要輸入路徑就自動提取，可以用來系統中的樣本。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
▲此軟件為簡體中文，在正體中文作業系統上會顯示亂碼，不過不影響操作，若要改善此現象，可以使用Microsoft AppLocale。

語法分隔用詞

[ 本帖最後由 philxyz0316 於 2007-5-20 16:40 編輯 ]

philxyz0316

★SREng日誌產生方法、及注意事項。

新版SREng注意事項。


或許會有人跳出這個畫面，請不要在意，這些資訊都會被列在報表裡面提供版上大大判斷，請勿自行處理。
新版本多了不少警告模式，及一些顏色劃分，不建議自行處理任何選項，不論彈出任何警告，都會顯示在報表當中，版上大大都會看到的。



▲產生日誌前重要注意事項。

一.請關閉非必要的程式，這樣可以方便判讀日誌。
    分必要的程式例如：(Yahoo、MSN、IE、Game、BOT..等等)

二.請在正常模式下產生日誌，請勿進入安全模式產生日誌。

三.請不要隨便就丟日誌上來，判讀一篇日誌需要許多時間，請補充求助必要訊息。
    必要訊息請參閱：(訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。、訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。)

四.張貼日誌請張貼完整，這是一種尊重。



▲日誌產生方法圖片說明。


開啟SREng之後的主畫面，請點選紅框標注的Smart Scan。




這是Smat Scan頁面，請注意以下幾個事項。
①檢查步驟2所標示的勾勾全數都有打勾。
②步驟3所標注的勾勾請手動打勾。
之後請按下Scan開始掃描。




然後會出現這個畫面，需要一些時間，請耐心等待。




等待一段時間過後，會呈現這個畫面，請按下左下角的 Save Reports 。




之後請隨便找個地方存檔。




確定存檔完畢之後，即可按下Close關閉。

之後請將日誌完整複製上來版上，這部份因該不用說明了，就只有複製貼上。






＊2.4版SREng新增Copy Suspicious Files說明。

相信有人注意到SR2.4的SmartScan畫面多了一個選項，也就是" Copy Suspicious Files To.... "。
勾選之後，會把系統中"可疑"檔案全部Copy到SREng目錄中的SuspiciousFiles資料夾，詳細請見下術說明。




由於比較懶，我把三張圖合成一張圖，紅線分隔資料夾，箭頭代表方向。
"Copy Suspicious Files To.."，定義就是字面上說得，複製可疑物件到SuspiciousFiles資料夾，雖然作者原意很好，這樣可以讓收集樣本更佳方便，不過也造成了一些問題。
(1)Suspicious Files定義有點偏執，基本上不是Microsoft的物件，都會被判定Suspicious Files然後進行Copy，這容易造成使用者的錯誤概念，因此特別申明一下，SREng的Suspicious Files並不代表危險。
(2)Copy威脅檔案，導致日後防軟偵測此區會出現警訊，這容易造成使用者恐慌。
由於這些功能都在發展階段，對求助者也不會有特別的幫助，所以在NV團隊的討論下，是不建議開啟此功能的。

若有大大需要收集自己系統樣本，以下是報表中對應資料夾說明，請自行參考。

引用:

Services=SuspiciousFiles\SERVICE\

Registry=SuspiciousFiles\BOOT_REG\

API HOOK=SuspiciousFiles\HOOK_RVA\ & SuspiciousFiles\HOOK_ENTRY\

Startup Folders=SuspiciousFiles\BOOT_FOLDER\

Autorun.Inf=SuspiciousFiles\AUTORUNINF\

Hidden Process=SuspiciousFiles\P_HIDDEN\

services.exe下的dll=SuspiciousFiles\P_SERVICES\

lsass.exe下的dll=SuspiciousFiles\P_LSASS\

剩下系統進程依此類推..。

philxyz0316

＊SREng進行清除動作注意事項。

(1)記得關閉系統還原。

(2)記得清除所有IE暫存檔。

(3)記得進入安全模式。

引用:

▲報表中顯示格式與實際處理格式不同點說明。

在報表中顯示的Registry，通常都是以下列方法顯示。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SVCHOST><C:\WINDOWS\SYSTEM32\SVCH0ST.EXE>  [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，是所在登錄檔位置。
<SVCHOST>，是在SREng顯示中的名稱，不過請不要忘了確認位置。
<C:\WINDOWS\SYSTEM32\SVCH0ST.EXE>，是SREng顯示中的位置。

在SREng處理面板中，只要注意<SVCHOST>及<C:\WINDOWS\SYSTEM32\SVCH0ST.EXE>即可，那個登錄檔所在位置是參考用途。

後面的部份報表顯示資訊與SREng內建顯示資訊也會略有不同，請自己稍微注意一下，基本上都只是排列順序罷了。

▲凡是任何變更登錄檔都建議進行備份，刪除動作也不利外。

philxyz0316

＊Registry的處理。

引用:

Boot Items分頁中的Registry選項。

[刪除功能] ，選取Boot Items ，在選到 Registry ，找到問題項目，點選問題項目在點選Delete，按下"是"即可刪除成功。




[編輯功能] ：這只是提供進皆使用者參考，一般碰到威脅處理刪除即可。
一樣Boot Items > Registry ，找到要編輯的項目，點選Edit 即可編輯 檔名/位置/機碼，不過一般碰到威脅都是建議刪除而不是編輯，所以不詳細介紹。

(當然，圖片的都只是舉例，請不要真的去刪掉..。)

引用:

◣編輯功能使用時機說明。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>  [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,>  [Microsoft Corporation]
這兩個註冊表常常後面都會掛著威脅，例如<Userinit><C:\WINDOWS\system32\userinit.exe,123.exe>。
這時候就需要使用Edit(編輯功能)進行除去動作，直接使用Delete的話SREng會提示無法刪除，若使用Icesword強制刪除，會造成作業系統出問題。

真實案例舉例。

Registry
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
    <SVCHOST><C:\WINDOWS\SYSTEM32\SVCH0ST.EXE>  [N/A]
由這個選項可以看出，SVCH0ST.EXE他是0而不是O，代表有問題存在，且後面的數位簽章又是[N/A]。


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{267709FD-A691-43B0-BF38-0DF6887A9B44}><C:\WINDOWS\winpsfisle.dll>  [N/A]
由這邊也可以看出，winpsfisle.dll一隻不明的dll檔，數位簽章一樣是[N/A]，這時就該把他拿上Google進行搜尋了，然後就判斷搜尋得到的資料，確定是威脅就該處理掉。


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061220.dll start>  [N/A]
有時候也會出現這種事件，dll檔附帶在正常系統檔旁，數位簽章也是[N/A]，這就把winsys16_061220.dll拿去搜尋。
這個個案例就需使用到編輯功能了，他掛在C:\WINDOWS\system32\userinit.exe旁邊，用編輯保留原本那串即可。
最後刪除實體檔案的時候，正常系統檔不要一併刪掉，只要刪除C:\WINDOWS\system32\winsys16_061220.dll即可。

p.s 看數位簽章是不一定準確的，不少威脅也會掛著Microsoft的標誌，不過他卻是威脅，建議判讀時不是系統正常的檔案，就該先拿去Google進行搜尋。

philxyz0316

＊Startup Folders的處理。

引用:

Boot Items分頁中的Folders選項。

[刪除功能] ：左側選取Boot Items 在點選 Folders ，一般這個項目都是空的，至於有在這個項目的也不一定是威脅，所以請不要亂刪，現在是拿趨勢反間諜作舉例。
若要刪除則選取問題項目，點選Delete在按下是即可。



真實案例舉例。

[IAMTrojan.exe]
  <C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動\IAMTrojan.exe.lnk --> C:\WINDOWS\system32\ IAMTrojan.exe []><N>
Google搜不到，就用SREng刪除登錄，在手動照上述位置刪檔。






＊Services的處理。

引用:

Boot Items分頁中的Services中的Win32 Services選項。

[刪除功能] ，進入此目錄方法同上，選擇問題項目，勾選Delet services，在點選set。
注意，按下否才是刪除，按下是就會取消動作..。




[編輯功能] ，Win32 Services也不只有刪除功能，還有其餘功能，在右下方(Starup Type)選擇欄處有三個選項。
分別是 Auto Start (自動啟動) / Manul Start (手動啟動) / Disabled (關閉) 。
若要修改啟動性質，就先選擇到要修改的項目，在勾選不小心被擋到的 Modify Start，點選Set即可修改，不過碰到威脅還是建議使用下張圖說明的刪除法。
紅色框框還有一個選項，就是Hide verified Microsoft items 隱藏Microsoft的Service確實會讓介面簡潔許多，不過在未來可能會有威脅可不可以混入這個項目就是謎了，所以依舊不建議勾選。



真實案例舉例。

[Gray_Pigeon_Server2.03 / GrayPigeonServer2.03]
  <C:\WINDOWS\G_Server2.03.exe><N/A>
由此可見，這隻奇怪的程式隱藏在服務裡頭，數位簽章一樣是[N/A]，且又不是正常系統檔案，這時拿去Google搜尋，就會發現是灰鴿子木馬，這時就該處理掉了。


[Network Logon / NetWorkLogon]
  <rundll32.exe KB8964225.log,start><Microsoft Corporation>
這次案例可以看出，數位簽章不一定準確，表面上看起來Microsft，可是卻是一個威脅物件。


[98DBBF01 / 98DBBF01][Stopped/Auto Start]
  <C:\WINNT\system32\98DBBF01.EXE -service><Microsoft Corporation>
因該也會有人碰到這種情況，後面的那些奇怪英文不必理他，抓到副檔名前面當關鍵字即可。


[Vsn ejqq Service / ejqq][Running/Auto Start]
  <C:\WINNT\system32\rundll32.exe C:\PROGRA~1\kpww\rwda.dll,Service><Microsoft Corporation>
這種狀況也有，rundll32.exe位置確認無誤，抓rwda.dll當關鍵字即可，最後處理一樣整行刪掉。

philxyz0316

＊Drivers的處理。

引用:

Boot Items分頁中的Services中的Drivers選項。

[刪除功能]：一樣是Boot Items > Services >這次點選 Drivers 。
操作方法大致與Services相同，就不詳細說明了。
一樣請注意，否才是刪除，點選是就會放棄動作。



真實案例舉例。

[dgcdgiee / dgcdgiee]
  <\??\C:\windows\system32\drivers\dgcdgiee.sys><N/A>
sys檔，也就是在HijackThis簡易報表中沒辦法看見，這隻數位簽章是[N/A]代表就要丟上Google好好找一下了。
(基本上Google找不到的驅動就可以殺掉，不過記得要仔細找，殺錯驅動會造成頗大問題。)


[hfibadec / hfibadec]
  <\??\C:\windows\system32\drivers\hfibadec.sys><中?互?网?信息中心(CNNIC)>
這也是一個大陸流氓軟體的服務項目，丟上Google確認一下是威脅就可以解決掉了。


Drivers
[TYKeeper / TYKeeper][Running/Boot Start]
  <\SystemRoot\system32\drivers\TYKeeper.sys><TY.Com>
這從Google一搜，也發現是廣告、流氓之類的，也是處理掉。






＊Browser Add-ons的處理。

引用:

System Repair分頁中的Browser Add-ons選項。

System Regpair > Browser Add-ons。

[刪除功能]，這次是拿RealPlayer當圖例，請不要真的刪除了。
一樣選取問題項目，點選Delete Selected ，按下是即可刪除。



[詳細資料功能] ：然後介紹一些非關緊要的功能，這個步驟就是查詢詳細資料，選取要查詢的物件，點選Detailed Info ，就會彈出詳細資料囉。



真實案例舉例。

[CdnForIE Class]
  {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, CNNIC>
一樣，一隻莫名的物件，由旁邊介紹可看出 CNNIC 大陸那邊的流氓軟體。


[訪問通用網址]
  <C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>
當然也會有顯示N/A的狀況，這時候就擷取一段關鍵字拿去Google搜尋即可。

philxyz0316

＊Running Processes的觀察與DLL注入處理。

這就是重頭戲了，不少dll的威脅都會注入系統正常程序，導致防毒軟體及HijackThis無法處理。

引用:

▲可以處理dll注入的工具大致上有兩種，基本上差異都不大，ProcessExplorer+Icesword模式、Unlocker模式。
至於要用哪種就視個人而定，下面是ProcessExplorer+Icesword模式，若您要使用Unlocker模式請見常見問題的問題(3)。

以下是ProcessExplorer+Icesword處理模式，請在文章頂部下載。
該程式有內建dll注入搜尋功能，非常的方便，由於是示範，所以就隨便拿一個正常的系統dll檔示範。




按下上方工具列的Find > Find Handle dll.. 這個選項。




然後就會出現這一個視窗，就輸入要尋找的名稱按下Search，在進行等待一下就會出現被注入的系統檔案囉，處理注入要使用到icesowrd。
(記得要先把被注入的程序記起來，不然等等會找不到。)




首先啟動icesowrd，切到Process模式，在剛剛使用ProcessExplorer找到的程序上面按下右鍵，選擇Module Informatiom。
(當然，這也只是示範，隨便找一個dll而已。)




隨後就會跳出視窗，然後顯示出該程式所有dll注入狀況，尋找剛剛的問題dll，按下Unload(Force)即可卸載。
(有些dll刪不掉的時候，就代表可能有注入系統程序，要先卸載才有辦法移除。)



真實案例舉例。

[PID: 1656][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\bdscheca100.dll]  [N/A, N/A]
    [C:\Program Files\NetLimiter\nl_lsp.dll]  [N/A, N/A]
    [C:\windows\system32\nl_msgc.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\system18.sys]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\IEXPLORE.Dat]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\IEXPLORE.win]  [N/A, N/A]
    [C:\windows\system32\KB8964225.log]  [N/A, N/A]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
    [C:\windows\system32\CNMLM5y.DLL]  [CANON INC., 1.80.2.50]
    [C:\windows\System32\spool\PRTPROCS\W32X86\CNMPD5y.DLL]  [CANON INC., 1.80.2.50]
由這篇特殊的狀況看出，會注入正常系統程序的不只有dll檔，這邊還看見了一堆奇怪的副檔名，不過全數當作dll處理即可。


[PID: 1444][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2800.1221 (xpsp2.030511-1403)]
    [C:\WINDOWS\off1win.dll]  [N/A, N/A]
由這篇可以看出，這個off1win.dll注入了Explorer.EXE裡頭。


[PID: 592][C:\WINDOWS\System32\RUNDLL32.EXE]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\NvMcTray.dll]  [NVIDIA Corporation, 6.14.10.7190]
    [C:\WINDOWS\System32\NVRSZHT.DLL]  [NVIDIA Corporation, 6.14.10.7190]
    [C:\WINDOWS\off1win.dll]  [N/A, N/A]
當然，會不注入的不只有Explorer.EXE，這篇就是注入RUNDLL32.EXE，注入svchost的也很常見。
p.s 上述三個案例，上面兩個我都把正常系統檔案去除才貼出來，這篇有把正常的dll顯示出來，所以在Running Processes看到的資料會是一整串，這時就要過濾掉正常系統檔，再去檢查異常了。



常見小狀況補充說明。

＊若在Running Processes部份，版上大大列出EXE執行檔，那代表該檔案正在執行，通常進入安全模式就不會在執行，不過還是建議用Icesword的Process功能檢查一下有否在運行，在Running Processes部份的EXE檔列出來只是方便處理，並不需要拿ProcessExplorer下去搜尋，不會有結果的。

＊在Running Processes部份的dll檔，我進入安全模式搜尋沒搜到怎麼辦？
這當然更好，這代表沒有dll注入狀況，直接刪除即可。

philxyz0316

＊File Associations的處理及判斷。

引用:

System Repair分頁中的File Associations選項。

這是正常的File Associations，若有異常就要進行修復。
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]


System Regpair > File Associations ，當然我現在的exe是正常的，所以他不會顯示些什麼，不然因該會顯示error，處理方法如圖所示，勾選起來點選Repair即可。



真實案例舉例。

.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  Error. [C:\WINDOWS\SYSTEM32\SVCH0ST.EXE %1 %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]
這個是有遭到竄改的File Associations，在紅色標注那裡可以看出，exe檔被SVCH0ST.EXE所佔據了，這時就要前往修復。


File Associations
.EXE  Error. [wuaucll.exe "%1" %*]
這個是某個案例的exe狀況，也是惡意情況，需要修復。


◆特殊例外狀況說明。

.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  Error. [C:\PROGRA~1\PANDAS~1\PANDAI~1\PAVSCRIP.EXE "%1" %*]
.JS   Error. [C:\PROGRA~1\PANDAS~1\PANDAI~1\PAVSCRIP.EXE "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]
這個File Associations看起來似乎有問題，相信各位也都注意到那兩個Error了，VBS與JS被某個不明檔案咬住。
其實這也是正常現象，該檔案是Panda防毒的元件，是用來避免執行惡意網站腳本的。


.JS   Error. ["D:\Program Files\Macromedia\Dreamweaver 4\Dreamweaver.exe" "%1"]
這種狀況也有見過幾次，Dreamweaver這款軟體功能就不詳細說明了，大致上是一款網頁編輯器，所以咬住JS也屬正常現象。

philxyz0316

＊Winsock Provider的處理。

引用:

System Repair分頁中的Winsock Provider選項，通常建議使用LSP-Fix來處理。

這個項目雖然SREng內建功能也可以處理，不過比較建議使用LSP-Fix及WinsockXPFix，記得兩隻都要下載，不然用LSP-Fix刪除過後不能上網就糟了。
以下也是隨便找一個無辜的dll來舉例。




首先點選上面的勾勾，找到問題dll選擇之後按下 >>>。




然後按下Finish>> 把他解決掉。



刪除過後，若產生沒辦法上網的情況，就要使用WinsockXPFix來修復了，修復前建議使用超級兔子等軟體備份一次登錄檔。

按下Fix就好囉。



以下是使用SREng內建程式對Winsock Provider的處理，不過較建議使用LSP-Fix，且WinsockXPFix一樣是必備。

切到System Repair中的Winsock Provider分頁，找到問題項目按下Delete Selected，在按下是即可。
不過一樣可能需要用到WinsockXPFix來修。



真實案例舉例。

Winsock Provider
MSAFD Tcpip [TCP/IP]*
    C:\WINDOWS\system32\S13A814E28.DLL(N/A, N/A)
MSAFD Tcpip [UDP/IP]*
    C:\WINDOWS\system32\S13A814E28.DLL(N/A, N/A)
MSAFD Tcpip [RAW/IP]*
    C:\WINDOWS\system32\S13A814E28.DLL(N/A, N/A)

這是某位求助者的Winsock Provider，他中了該隻威脅，造成無法上網，run了一個報表來看，果然是因為Winsock Provider被修改所導致。
若有時候防軟偵測出木馬，又莫名其妙的無法上網，就該懷疑到這邊了。
就算刪除了威脅，可能還是會無法上網，那是因為沒有修復Winsock Provider，需要使用到WinsockXPFix來修復。


◆特殊例外狀況說明。

Winsock Provider
PAV_LAYERED over [MSAFD Tcpip [TCP/IP]]
    c:\program files\panda software\panda internet security 2007\pavlsp.dll(Panda Software International, Internet Resident Layered Service Provider)
PAV_LAYERED over [MSAFD Tcpip [UDP/IP]]
    c:\program files\panda software\panda internet security 2007\pavlsp.dll(Panda Software International, Internet Resident Layered Service Provider)
PAV_LAYERED over [MSAFD Tcpip [RAW/IP]]
    c:\program files\panda software\panda internet security 2007\pavlsp.dll(Panda Software International, Internet Resident Layered Service Provider)
PAV_LAYERED
    c:\program files\panda software\panda internet security 2007\pavlsp.dll(Panda Software International, Internet Resident Layered Service Provider)

這看起來也是Winsock Provider部份被修改，但是這只是安裝Panda防軟的正常現象，如何判斷正常與異常？還是老話一句，經驗與Google。
到目前看到常會使用到Winsock Provider的正常軟件，大多數都是Firewall軟件，費爾Firewall、OpostFirewall、甚至主機板內建的Firewall都有看見過。

philxyz0316

＊Autorun.Inf的處理與判斷。

若SREng報表中有出現這個項目就要注意了，正常的硬碟中不會有這個項目，這個項目正常是存在於自動啟動的光碟中，現在病毒越來越多利用Autorun.Inf，只要使用者點取該磁碟機，就會啟動檔案，甚至還有出現在USB裡頭的，出現在硬碟裡就必須盡速刪除。
舉以下例子。



該求助者的LOG中出現下述狀況。
Autorun.Inf
[D:\]
[autorun]
open=d:\mplay.com

若D是磁碟機，就要進入D磁碟將Autorun.Inf在D磁碟機找到且殺掉，d:\mplay.com這個位置的檔案也一併殺掉，但是若D磁碟機是光碟機，就不用理他了。



進行刪除作業可能要先關閉Autorun功能，操作如下。

1.開始功能表，點取執行，輸入regedit點確定。

2.在左側目錄樹中依序點開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies

3.在右側視窗點滑鼠右鍵，選新增，再選機碼，將它命名為Explorer

4.左側目錄樹中點剛才新增之Explorer機碼，然後在右側視窗點滑鼠右鍵，選新增，再選DWORD值，將它命名為 NoDriveTypeAutoRun

5.在右側視窗選剛才新增的NoDriveTypeAutoRun，按滑鼠右鍵點修改，將數值資料欄位的0改成000000ff

6.確定操作無誤後，關閉regedit，重新開機，此時Autorun機制已被關閉



★關閉Autorun操作非常麻煩？推建議一款Microsoft出品的工具Tweak UI，可以用來關閉Autorun功能，達到對U盤病毒免疫的效果。
雖然是需要安裝，不過安裝過程非常簡易、快速，詳細載點請見文章開頭。


這是安裝畫面，只要記得按下 "I Accept ..."，在按下下一步，就安裝完成了。




安裝完畢之後，請在開始目錄照圖中敘述找到Tweak UI，並且啟動。




啟動之後左邊樹枝目錄先選到 My Computer > AutoPlay > Drivers 。
然後在本機磁碟前面把勾勾都取消到，您系統上有幾個磁碟，就照代碼關幾個。
之後在按下Apply就完成變更，從此不必擔心雙擊硬碟會觸發Autorun.Inf了。




處理完本機磁碟之後，改來處理卸載式磁碟(USB)，在同樣的目錄下改選擇到 Types 。
將第二項 Enable AutoPlay for removable drivers 前面的勾勾取消。
在按下Apply完成變更，這樣一來隨身碟的U盤病毒再也無法作怪了。