蔡逸竹

解毒文章整理

　　電腦中毒了怎麼辦？電腦中毒是什麼原因？中毒要怎麼處理？有沒有需要重灌？要怎麼移除？這是很多人常問的問題，前一陣子寫了一些解毒的文章，如下：
1. 電腦中毒怎麼辦？工作管理員的解毒法
2. 電腦中毒怎麼辦？使用工具軟體來解毒
3. 電腦中毒怎麼辦？手動解毒移除教學
4. 認識WindowsXP SP2的防火牆
5. 尋找木馬間諜程式新利器PC Tools的Spyware Doctor
6. 電腦中毒怎麼辮？ADSL可以撥號不能上網？PING [?] 問號
7. Lavasoft Ad-Aware 2007 免費版正式推出
8. 看影片也會中毒! real player自動開啟的廣告
　　每個方法都有它的使用時機，值得你詳細的閱讀，一般來說，可以解決大部份的問題。也許有人會覺得怎麼內容這麼多，好像有點複雜？有沒有簡單一點的方法，當然有!! 花錢消災吧! 不想花錢，就耐著性子看下去吧!

蔡逸竹

解毒的流程

　　解電腦病毒流程只能提供一個大方向，你可以根據情況來做調整，不一定要依照每個步驟下去操作，而且每個步驟也不一定只操作一次
　　例如：步驟Step 3檢查登錄表，你都可以隨時去檢查一下病毒有沒有復發。步驟Step 5使用工具軟體，也不是只掃一次就好，通常掃完第一次後都要重新開機，然後再掃一次，目的就是要確認病毒是否真的已經清除掉了。步驟Step 4找出可疑的檔案並移除它，也不能保證在開機過後，可疑的檔案會不會再跑出來。
以下就是我提供的解毒流程：
Step 1. 關掉WindowsXP SP2的「系統還原」
　　你可以開啟「控制台」、「系統」，打開後，切換到「系統還原」頁籤，如下圖：

　　我不曉得該怎麼形容這個「系統還原」，「成事不足，敗事有餘」是我對它的評價，有時真正需要用到它的時候，它都次都給我「還原失敗」，這就算了，這個「系統還原」儲存的地方常常都是病毒的避難所，原因就是防毒軟體沒有辦法清系統還原資料夾(System Volume Information)裡的病毒，所以乾脆就把它關了吧！

Step 2. 儘可能的將病毒碼更新到最新
　　用過很多防毒軟體，其中最滿意的防毒軟體是賽門鐵克Symantec Antivirus，推薦大家也用它。一般來說，使用Symantec Antivirus都是使用Live Upate去更新病毒碼， 可是有時候也會需要去下載病毒碼來更新，如中毒了無法上網，就需要到別台可以上網的電腦去抓病毒定義檔回來更新，以下是Symantec及Lavasoft的定義檔下載網頁：

• >> 訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
• >> 訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

Step 3. 檢查登錄表(Regedit)
　　先檢查登錄表上有沒有可疑的值，詳細教學請參考(電腦中毒怎麼辦？手動解毒移除教學)，有的話記得在清掉上面登錄值前，先用筆將可疑的檔案的位置抄下來。
　　我整理了有問題及正常的登錄值在本篇文章的最後，這兩個表會持續的更新。

Step 4. 找出可疑的檔案並移除它
　　在檔案總管或是命令提示字元中找出剛剛抄下來可疑檔案的位置，並刪除它，教學請參考(電腦中毒怎麼辦？使用工具軟體來解毒)，若是因為拒絕存取或是檔案使用中，請先不用管它。

Step 5. 使用工具軟體
　　由於需要檢查的地方太多且太雜，使用工具軟體可以幫助我們找到更多我們沒有檢查到的區域，教學請參考(電腦中毒怎麼辦？使用工具軟體來解毒及尋找木馬間諜程式新利器PC Tools的Spyware Doctor)

Step 6. 進入安全模式
　　進入安全模式後，因為系統只載入基本的開機的程序，所以”有可能”病毒就沒有被載入，所以可以在這個時候來進行清除病毒的動作。
　　接下來就請做：

• 1. 使用檔案總管或是命令提示字元找到Step 4因為拒絕存取或使用中而殺不掉的檔案，再試著殺殺看。
• 2. 再次檢查登錄表。
• 3. 這時候也可以使用防毒軟體(Antivirus、adaware)再試著清看看。
• 4. 如果在安全模式下刪除有問題的檔案時還會出現檔案正在使用中之類的訊息，請參考Step８. 特別狀況。

　　進入安全模式的方法，請你在打開電腦之後，看到WindowsXP開始的圖案之前，一直的按「F8」按鍵，之後會出現一個黑底白字的畫面，這時請選擇第一個「安全模式」進入，如果你會命令提示字元，也可以選擇「安全模式(含命令提示字元)」：

安全模式

安全模式(含網路功能)

安全模式(含命令提示字元)

......

......

　　之後的畫面如下，請直接按「Enter」繼續。

請選擇您想要啟動的作業系統
	Microsoft WindowsXP Professional或者是Home
安全模式

　　進入Windows後請選擇一位使用者進入後，你會看到此說明視窗，請按「是」：

　　進入到桌面後，你會發現到和平常的桌面不太一樣，四個角落都有「安全模式」的文字，而且顏色變的怪怪的，這是因寪Windows只載入基本的裝置驅動程式。

Step 7. 重新開機
　　重新開機後，請再回到Step 3，再次檢查所移除的程式有沒有復發的現象。(如果你發現已經殺掉的木馬會一再的復發，就要請找更專業的人士解決，或是重灌了。(如果你還想再繼續解的話，你可以上網去搜尋這個木馬的相關資料，再想對策來解決)

Step 8. 特別狀況(以下操作比較困難)
　　特別狀況中的處理方法會使用到一些光碟，有些使用者可能沒有這些光碟所以沒有辦法操作。
　　1. 如果可疑檔案所在磁碟的檔案系統是FAT32、FAT16，那你可以直接使用Dos開機片開機後再做清除的動作，這時不管什麼檔案，絕不會再出現「檔案使用中或拒絕」的情況。(在這個裡你必需要會基本的Dos指令，才有辦法操作)
　　2. 如果所在磁碟的檔案系統是NTFS的話，你可以利用WindowsXP的光碟片開機，進入到安裝程式選擇時，按【R】按鍵，進入復原主控台，然後Dos指令清除這些檔案。(在這個裡你必需要會基本的Dos指令，才有辦法操作)
　　3. 另外，你也可以使用WinPE光碟直接開機，這時不管什麼檔案或是檔案系統，也都直接可以做刪除的動作，因為開機並不是使用到原本的WindowsXP系統，而是使用光碟上的開機系統)。

蔡逸竹

有關網友對系統還原的疑問

　　「病毒真的是都藏在系統還原裡面嗎？」謝謝網友問了這麼好的問題。

　　這個答案是肯定的，我有多次看到病毒在「System Volume Information」系統還原資料夾出現過，而且，在Symantec的官方標準解毒程序裡，開宗明義的第一個步驟，就是要關閉系統還原(Disable System Restore) ，其原因就是防毒軟體無法進入這個區域掃毒，所以就要靠關閉系統還原的功能將裡面的病毒清除，以免病毒再次復發。而在病毒完全清除後，你還是可以再次打開系統還原這個功能。

　　根據微軟Microsoft技術文件說明，「系統還原」功能不允許公用程式操控此資料夾與檔案，由於這一點，防毒程式無法移除此資料存放區中檔案的病毒。


　　這樣的規則到最後，防毒軟體乖乖的聽從「系統還原」指示不能越軌進入，而木馬病毒只把「系統還原」的遊戲規則當參考用，在資料夾內進進出出的，防毒軟體要抓它時，就躲進去在裡面大笑：「呆子，抓不到~~」。

　　賽門鐵克其中一種病毒的解毒步驟：訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
　　微軟的說明文件：訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

蔡逸竹

有問題的登錄值總整理

　　只要你發現你的登錄值裡有符合以下任何一個值，直接刪除它就對了!

cmdbcs	C:\WINDOWS\SVCHOST.EXE
cmdbcs	C:\WINDOWS\cmdbcs.exe
fzg	C:\WINDOWS\Config\svhost32.exe
svchost	C:\WINDOWS\system32\SVSH0ST.EXE
load	C:\WINDOWS\uninstall\rundl132.exe
mhsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mhso.exe
mnsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mnso.exe
msccrt	C:\WINDOWS\LSASS.EXE
MsIMMs32	C:\WINDOWS\12Sy.exe
qjsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\qjso.exe
rxsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\rxso.exe
tlsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\tlso.exe
wlsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\wlso.exe
wosa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\woso.exe
ztsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\ztso.exe
WSVBRS	C:\WINDOWS\RUNDLL32.exe
upxdnd	C:\WINDOWS\upxdnd.exe
svc	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\byetmr.exe
1MJPMIG__	C:\WINDOWS\IMEINPUTS.EXE
wssttrs	C:\WINDOWS\wssttrs.exe
Microsoft Autorun9	C:\WINDOWS\system32\Ravasktao.exe
Microsoft Autorun14	C:\WINDOWS\system32\ztinetzt.exe
Microsoft Autorun5	C:\WINDOWS\system32\mosou.exe
Microsoft Autorun10	C:\WINDOWS\system32\nwizwmgjs.exe
Microsoft Autorun6	C:\WINDOWS\system32\mydata.exe
system	C:\Program Files\Common Files\system\Updaterun.exe

蔡逸竹

安全的登錄值總整理

　　以下整理的登錄值都是一般常見正常的登錄值。

IMJPMIG8.1	"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002	C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
NvCplDaemon	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
nwiz	nwiz.exe /install
PHIMETIPSYNC	C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
Smapp	C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
ctfmon.exe	C:\WINDOWS\system32\ctfmon.exe
Yahoo! Pager	"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
MSMSGS	"C:\Program Files\Messenger\msmsgs.exe" /background
msnmsgr	"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
swg	C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

蔡逸竹

工作管理員的解毒法

源由

　　電腦變慢、不能開機、被盜帳號，這些是最常見的電腦問題，多半都是因為電腦中毒或是被植入木馬程式的關係。

　　我每次在網路上找東西時，有時不小心也是常常中毒，也沒辦法這就是喜歡亂逛以及下載東西的代價，不過因為我懂一點電腦的東西，所以大部份的病毒總是有辦法自己解決，就算是碰到比較厲害的病毒解不了，也可以自己重灌。

　　解毒的方法和步驟很多，面對不一樣的中毒情況就有不一樣的解決方法，沒有固定步驟，我這邊會教大家幾個技巧，只要大家活用這幾個技巧，就能解決掉大部份的情況。

觀察「工作管理員」

　　打開工作管理員的方式有幾個：

• 以WindowsXP為例，使用「 Ctrl + Alt + Del 」 。
• 在工具列上點滑鼠右鍵後， 選擇 「工作管理員（K）」。

（工作管理員）

　　工作管理員有「應用程式」、「處理程序」、「效能」、「網路功能」、「使用者」頁籤(Tab)，比較常用到的是在「效能」、「處理程序」及「使用者」。
平常你可以打開「效能」頁籤，來隨時注意CPU的使用率，及實體記憶體可用的記憶體還剩多少。
　　電腦變慢最常見的兩種情況

• 因為CPU的使用率被某個程式給佔住，並以百分之百的速度在執行。

  大部份都是因為病毒的關係，或是因為一般程式發生異常而造成程式佔住CPU的資源。大部份的情況，都可以到「應用程式」或是「處理程序」找出是哪個程式造成的，然後去終止程式。
  

• 另一個情況就是你的實體記憶體的可用記憶體耗盡。

  多半都是因為你的記憶體太小的關係，或是目前執行的程式太多。解決的方法到「處理程序」去使用「結束處理程序」按鈕來終止用不到的程式，或是木馬病毒程式。

如何終止掉沒用的程式

「處理程序」頁籤　　打開工作管理員後，並選擇「處理程序」頁籤，你可以看到目前電腦正在執行的所有程式，一般我們都會點「CPU」及「記憶體使用量」來看看哪個程式佔的CPU資源最多？還有哪個程式佔用電腦最多記憶體？
　　在這邊最重要的是哪個程式是可以終止的？你可以看「影像名稱」的檔名，如上面的範例圖片可以知道，最佔電腦記憶體的是 firefox.exe程式，它佔用了電腦39,868KB的記憶體，那我們可以終止掉它嗎？當然不行，因為firefox是火狐狸瀏覽器的主程式，我們可以直接從主檔名看出這個程式是什麼，有些程式會取比較沒有意義的主檔名，這時就要用「搜尋」功能去尋找出這個檔案是什麼軟體的主程式，再來決定要不要去終止它。
　　有些木馬程式會用系統中常見的程式名稱，來讓你覺得它是正常且有用的程式，如explorer.exe、 svchost.exe..等等，有些木馬病毒甚至會改將"l"改成"1"來混淆你，如"explorer.exe"及"exp1orer.exe"。其實這種的最好解決，因為它很假，做賊心虛，會故意改這樣的名字，想都不用想就知道它一定是木馬病毒，直接就可以將它終止。

不能只做終止程式這個動作

　　終止了這個木馬病毒程式，你只做了一半，如果你沒有將這個有問題的程式給刪除掉，下一次再開機時，它一樣會自動的載入到你電腦的記憶體中。
　　所以在終止程式之前，你要先抄下這個程式的名字，然後用Windows開始功能表裡的尋找，來找出這個程式位於電腦的哪個地方，找到這個程式後，再直接刪除它。直接就讓你找到這個程式是最理想的結果，但是通常病毒的檔案都有設定成"隱藏(A)"及"系統(S)"的屬性，所以你必需先到控制台的資料夾選項，然後到「檢視」頁籤中，將
　　－　「隱藏保護的作業系統檔案(建議使用)」的打勾拿掉，
　　－　以及將「隱藏檔案和資料夾」選擇在「顯示所有檔案和資料夾」 中。

　　做了這兩個動作才有辦法尋找的到一些系統的檔案。
　　以上是視窗的操作方法，我覺得應該是這樣才找的到，我通常都不是這樣找的，我找檔案還是習慣使用命令提示字元來用DOS指令來找，簡單明暸：
　　點選「開始功能表」，選「執行」，然後在「開啟」的欄位中打上”cmd"這三個字母（不包含雙引號），就會看到以下黑黑的視窗，如下圖：

　　先切到C磁碟的根目錄，打指令　"CD\"
然後再打想要找的檔名，打指令　"DIR EXP1ORER.EXE /S/A"
(參數/S及/A的意思是找根目錄之下所有的資料夾，包括找隱藏檔)
　　若是有找到的話，就使用 ATTRIB 先看檔案的屬性，然後再根據結果下指令"ATTRIB -S -R -H 檔名" 來去除S系統屬性、R唯讀屬性、H隱藏屬性，這時，這個病毒已經任你處置的待宰羔羊了，最後就是下達"DEL 檔名"的指令來結束它的生命了。
　　以上所教學的是解毒的其中一招，陸續會再寫其它解毒的方法，另外以後有機會再來寫DOS的教學。

要回更多的記憶體及效能

• 有很多人的電腦開機時會載入一大堆用不到的應用程式，你可以將螢幕下方的工作列將一些暫時沒有要用到的程式先關掉。（使用滑鼠右鍵，來選擇關閉程式）

  

• 當你電腦的記憶體沒有很多或是CPU的執行速度沒有很快時，我建議你犧牲一些視覺效果來將電腦「調整成最佳效能」，步驟如下：
  • 打開「控制台」＼「系統」。
  • 選擇「進階」頁籤後，再選「效能」欄位裡的「設定(S)」。
  • 選擇「視覺效果」頁籤裡的「調整成最佳效能(P)」。

  

蔡逸竹

使用工具軟體來解毒

源由

　　電腦變慢、不能開機、被盜帳號，這些是最常見的電腦問題，多半都是因為電腦中毒或是被植入木馬程式的關係。

　　由於現在有太多的病毒，有時你根本就不曉得哪些是病毒？哪些不是病毒？隨便亂殺檔案的話，最後有可能會將系統搞到不能開機。所以必需借助其它軟體來幫我們辨識木馬病毒，通常軟體也可以幫我們將中毒的檔案順便清掉，如果軟體清不掉的話，我們就可以手動的來清掉木馬病毒。

　　平常我比較推薦使用的兩個軟體：

諾頓賽門鐵克Norton Symantec AntiVirus 防毒軟體，你可以使用Google Pack的軟體集，來安裝Norton防毒軟體，Google的軟體集提供了可以免費讓你更新半年的Norton防毒軟體，相當的棒，如果你想裝上Norton或是想換防毒軟體，你可以按下面這個按鈕來安裝google軟體集：

另外一套常用的木馬移除工具是訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。的訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。，這是一套免費的軟體。(目前已推出Ad-Aware2007版，詳細說明請看「訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。」)

Lavasoft Ad-aware SE Personal ：訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

Google Pack軟體集

　　Google Pack裡包括了相當多常用且有用的程式，如Google桌面、Google工具列、Norton Security Scan安全工具、Spyware Doctor入門版、Adobe PDF Reader 及Real Player等。如以下圖片：

　　Google很用心的整合了這些工具，建議大家可以全部都安裝進去，GooglePack會隨時幫你注意有沒有新版的更新，一有更新就會通知你更新。

Lavasoft Ad-aware SE Personal

　　這套軟體目前只有英文版，以前舊的版本有中文的，現在雖然有支援Language Pack可是已經沒有中文的了。
　　在執行掃描之前，先檢查看看有沒有新的更新：

　
　　然後可以根據你的狀況來選擇快速系統掃描(smart system scan)來檢查幾個最重要的地方，以及完整系統掃描(full system scan)來掃描所有電腦的地方，
如果你第一次安裝Ad-aware或是很久沒有做過full system scan的話，就建議做完整系統掃描(full system scan)；
快速系統掃描(smart system scan)因為花的時間很少，所以很適合你有時間就做一次。

　　當掃描結束後，會出現以下的畫面：

　　紅色的英文字，就是告訴你已經辨識出不好的東西。Ad-aware會根據辨識到的木馬病毒的形式予以分類如：Processes、Moudles、Registry Keys/Values、Files、Folders，不管辨識出什麼東西，基本上全殺光就對了。 （ 當然要視情況全殺光，以前我用過舊的Ad-aware，那時也是連看都不看就全殺光，後來就不能開機了。當中毒的檔案是系統的重要檔案，你殺了它，電腦當然就不能開機了。）

　　不過，現在我幾乎沒有碰過之前那樣的問題了，所以基本上抓到什麼就清掉什麼就對了，按下一步Next繼續吧！

　　Ad-aware會將抓到的木馬病毒分種類的歸類，以上圖為例：

• Tracking Cookie(14 Objects Total) 抓到了14個不好的網頁Cookies
• MRU List
• 如果你還有中到其它的木馬病毒會一直的列下去。

　　
　　到這裡除了MRU List不用管它之外，請將其它的項目全部打勾。 (其實Cookies也不是什麼很危險的東西，我們到一些網站為了要讓網站記得我們，網站就會將Cookies檔放在我們的電腦上，另外因為我的電腦沒有中毒所以最多就給大家看到抓到Cookies時的情況，要是真的抓到木馬病毒，打勾殺掉就對了。)
　　另外你也可以切換到Critical Objects頁籤，來看看是抓到了哪裡東西，如下圖：

　　
　　最後，選擇完要清除的項目後，按下一步Next後，會出現一個警告訊息如下：

　　
　　按下OK來確認要清除所選擇的項目。

蔡逸竹

手動解毒移除教學

在Ad-aware中，有些木馬病毒解不掉

　　Ad-aware SE Personal是Lavasoft提供給個人免費使用的一套軟體，能「"被動」的解掉木馬病毒，為什麼說是「"被動」呢？就是等你中標了，再來治療的動作。別人免費讓我們使用，就別抱怨了。

　　但是Ad-aware有時雖然可以抓的到木馬病毒，可是會因為病毒已經載入記憶體中了，所以沒有辦法將木馬病毒給終止結束掉，它會請你將電腦重新開機後，再次進入Windows後，就自動進行一次掃描，基本上如果Ad-aware比病毒還要早載入的話，木馬病毒多半是可以解掉的；但...要是病毒又先載入了呢？那就要自己D.I.Y.了。

如何D.I.Y.清除木馬病毒

　　清木馬病毒，我們從兩個方面來談，「已知」和「未知」，由防毒軟體或是Ad-aware查出來而清不掉的我們稱這種為「已知」；而「未知」就是防毒軟體和Ad-aware沒發覺到的。

　　我們先從「未知」的先來談，防毒及Ad-aware都是要靠更新病毒定義檔，才有辦法找出最新的病毒。病毒定義檔就好似我們小時常接種的「疫苗」，如果你沒接種過疫苗，就會有生病的危險。所以如果沒有經常的更新病毒定義檔，或是碰到的木馬病毒太新、太稀少還沒被製作成病毒定義檔的，那你就會不知不覺的中毒。

　　手動解毒的部份對於許多的沒有經驗的人可能有點複雜，請你一定要耐住性子慢慢的看到最後，這些東西很少人會講的那麼清楚明白，我都把我的解毒的技術完全寫出來了，你還不看？相信我學到就是你的，你也就不用一再的花錢請電腦公司解毒了。

尋找未知的木馬程式及電腦病毒

　　一般我找這種未知的，第一步都是先從Windows開機時會載入的程式來找，也就是找「啟動」及各個「登錄表」的值。
「啟動」資料夾總共有二種：你可以從我的電腦中的本機磁碟C，一層一層的點進去。

• 第一種「啟動」資料夾是每個XP、2k使用者都會有一個，它的位置位於
  「C:\Documents and Settings\使用者名字\「開始」功能表\程式集\啟動 」
• 第二種「啟動」資料夾是全部使用者共用的，它位於
  「C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動」

第一種啟動資料夾和第二種比較，你可以很明顯看出差異性就是一個是你自己使用者的名字，另一個名字則叫All Users。

　　再來就是檢查系統登錄表，你可以在「開始功能表」裡的「執行」裡，輸入「regedit」，來開啟「登錄編輯程式」，

而需要你去檢查的位置如以下介紹，請你一層一層的追下去：

• Run： 這裡是最重要的二個地方

  首先是位於HKEY_LOCAL_MACHINE裡的Run，這裡的啟動程式是最多的，原因是這個地方是所有本機使用者共用的。路徑如下：
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  
  
  再來是位於HKEY_CURRENT_USER裡的Run，這裡的項目很少，而且裡面的啟動程式資料會因為使用者個別的設定而有所不同，也就是說，如果這個地方有被安插木馬程式的話，你還必需要再登入到另一個使用者那邊去檢查一下這個位置有沒有安全。路徑如下：
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  
  
  我整理了常見的「有問題」及「正常安全」的登錄值，在本文的最後面，這兩個清單會持續的維護。
  

• Userinit： 這也是相當的重要的一個地方，幾乎每個中毒的電腦這個地方都有問題。它的路徑如下：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  
  通常該登錄鍵下面有一個正常的值如下：
  【C:\WINDOWS\system32\userinit.exe,】
  
  但這個鍵允許指定用逗號分隔的多個程式，
  例如 【C:\WINDOWS\system32\userinit.exe,c:\我是病毒.exe】
  所以你只要把逗號後面的所有文字全部刪除掉，只留下C:\WINDOWS\system32\userinit.exe,就好了。
  
  

• Load： 這個會有問題的情況會比較少一些，不過rundl132.exe這個木馬病毒通常都喜歡躲在這。

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\
  Windows NT\CurrentVersion\Windows\load
  
  你只要檢查名稱load的那一行，確定資料欄位是空白的。
  
  

• RunOnce ：RunOnce、RunOnceEx、RunServices會出現狀況的機率就更少了(有些電腦甚至沒有這些鍵值如RunServices)，一般正常的情況，這裡面只會有一個「(預設值)　REG_SZ　(數值未設定)」在裡面，除此之外，這裡面「不應該」被放置「任何的程式」，如果有其它的程式在上面，全部殺掉。如下圖是一個正常的情況：

  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunOnce
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunOnceEx
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunOnce
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunOnceSetup
  
  

• RunServices

  HKEY_CURRENT_USER\SOFTWARE\Windows
  \CurrentVersion\RunServices
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServicesOnce
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServices
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServicesOnce
  

　　
　　對初學者來說，看這些登錄表的困難度，就是在什麼可以殺？什麼不可以殺？要是你胡亂殺了一堆東西，雖然當下沒有感覺到有什麼不一樣，可是一旦你重新開機，你就知道後果了。
　　所以要學會怎麼看這個東西可以殺或是不能殺，是要靠經驗的。所以建議大家，拿起你的筆記本，看你要記在電腦裡還是記在紙上，將上述的這些需要注意的登錄表完整的抄下來，將來中毒時，就可以用來判斷有什麼東西多了出來，一般來說，多出來的那個東西就有可能是木馬程式或是電腦病毒，當然也有可能是你後來才安裝上來的程式軟體。
　　要記些什麼東西？以我目前自己電腦為例，第１個Run裡的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 我會記下
第一筆　名稱 ctfmon.exe　數值資料 C:\WINDOWS\system32\ctfmon.exe
第一筆　名稱Yahoo! Pager數值資料 "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
以此類推。

一些基本常識

以下內容是很基本的常識，但是對一些初學者還是要簡單的說一下，雖然作業系統一直的演進，但是這兩個常識一直還是存在的。
路徑的常識：
　　所謂的路徑就是 C:\WINDOWS\system32\ctfmon.exe，
　　它可以分解成 「C: 」、「WINDOWS」 、「system32」及「ctfmon.exe」，代表的意思即是有一個檔案叫「ctfmon.exe」，它被放在「C: 」磁碟的「WINDOWS 」資料夾的「system32」資料夾內。
　　由這個例子可以明白的看出每個資料夾都會隔著「\」斜線符號。

檔案的常識：
　　接著同樣以上面的例子為例子，「ctfmon.exe」
　　每一個檔案都有一個主檔名和一個副檔名組成，中間以一個「.」(點符號)隔開，主檔名代表這個檔案叫什麼名字，主要是給使用者做記憶用，而副檔名就比較重要了，它代表了這個檔案是什麼樣的一個檔案，如圖片檔、音樂檔...等等。
　　早期DOS時代主檔名只有8位，副檔名為3位；而現在Windows時代，主檔名可以隨便取(當然不是要多長就多長，還是有限制的)，副檔名雖然也可以取的很長，但是還是都以3個字為主。

一個解毒的示範

　　下圖為HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run的數值，以底下這個例子可以看到一個不尋常的地方，你看出來了嗎？

　　唯一的問題出在第一個「(預設值)」，這個「名稱」的「資料」數值是空白，你可以看一下上面第一個Run的圖片。

　　所以這個的解決方法就是用滑鼠左鍵雙點兩下「(預設值)」，然後會出現下面這個「編輯字串」視窗，你只要將「數值資料」裡的那串數值
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」給清除掉，然後再按「確定」就好了。

　　接下來是Userinit這個位置，這個位置也是最常有病毒的地方，如下圖我抓下來的Init的截圖，這個截圖我有修改過，這是為了要完整個看到整個Userinit字串。

這個Userinit字串如下，「C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,」
這個Userinit有兩個部份，分別是userinit.exe及svchost.exe，根據上面的Userinit的說明可以知道，除了userinit.exe以外的東西都是病毒，所以你要將userinit.exe以外的東西都清除掉，你可以使用滑鼠左鍵雙點兩下「Userinit」這個位置，然後將數值資料改成這樣
「C:\WINDOWS\system32\userinit.exe,」，然後再按「確定」就解決了。

當然重新開機之後，最好可以再去把這幾個病毒檔案給刪除掉，
「C:\DOCUME~1\EndUser\LOCALS~1\Temp\xiao.exe」及
「C:\Program Files\Windows Media Player\svchost.exe」。

Ps 1：特別注意到xiao.exe這個檔案的位置，這個位置經常會有病毒在這裡，因為它是Windows的暫存區，所以建議經常要去清理這個位置，較完整的路徑就像這樣 C:\Documents and Settings\EndUser\Local Settings\Temp。
Ps2：svchost.exe這個檔案的正確路徑是在C:\Windows\system32裡，如果它出現在其它位置就代表它是假貨，就像是這個例子一樣。

有問題的登錄值總整理

只要你發現你的登錄值裡有符合以下任何一個值，直接刪除它就對了!

cmdbcs	C:\WINDOWS\SVCHOST.EXE
cmdbcs	C:\WINDOWS\cmdbcs.exe
fzg	C:\WINDOWS\Config\svhost32.exe
svchost	C:\WINDOWS\system32\SVSH0ST.EXE
load	C:\WINDOWS\uninstall\rundl132.exe
mhsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mhso.exe
mnsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\mnso.exe
msccrt	C:\WINDOWS\LSASS.EXE
MsIMMs32	C:\WINDOWS\12Sy.exe
qjsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\qjso.exe
rxsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\rxso.exe
tlsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\tlso.exe
wlsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\wlso.exe
wosa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\woso.exe
ztsa	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\ztso.exe
WSVBRS	C:\WINDOWS\RUNDLL32.exe
upxdnd	C:\WINDOWS\upxdnd.exe
svc	C:\DOCUME~1\使用者帳號\LOCALS~1\Temp\byetmr.exe
1MJPMIG__	C:\WINDOWS\IMEINPUTS.EXE
wssttrs	C:\WINDOWS\wssttrs.exe
Microsoft Autorun9	C:\WINDOWS\system32\Ravasktao.exe
Microsoft Autorun14	C:\WINDOWS\system32\ztinetzt.exe
Microsoft Autorun5	C:\WINDOWS\system32\mosou.exe
Microsoft Autorun10	C:\WINDOWS\system32\nwizwmgjs.exe
Microsoft Autorun6	C:\WINDOWS\system32\mydata.exe
system	C:\Program Files\Common Files\system\Updaterun.exe

安全的登錄值總整理

以下整理的登錄值都是一般常見正常的登錄值。

IMJPMIG8.1	"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002	C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
NvCplDaemon	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
nwiz	nwiz.exe /install
PHIMETIPSYNC	C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
Smapp	C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
ctfmon.exe	C:\WINDOWS\system32\ctfmon.exe
Yahoo! Pager	"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
MSMSGS	"C:\Program Files\Messenger\msmsgs.exe" /background
msnmsgr	"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
swg	C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

蔡逸竹

認識WindowsXP SP2的防火牆

源由

　　最近在家上網時，速度慢到無名火一直上來，256K是很慢沒錯，可是之前的速度我都還可以接受，怎麼最近狀況變得這麼差，差點衝動要到中華電信將256K升8M。後來我就將數據機的網路線統統拔掉只留我電腦一條，速度忽然就正常了，才發現到是我哥電腦的問題，所以雖然自己的電腦沒問題，如果區域網路裡的電腦中毒了，還是會影響到自己。

　　之前我哥的電腦不能開機，後來將病毒都清掉後，以為就正常了。沒有想到還是有沒注意到的程式佔住頻寬，所以這時我就將所有不認識的連接埠(Port)都關掉，結果，我這邊電腦的速度就恢復正常了，所以我哥的電腦就先不管它了，以後再來慢慢抓是什麼問題。

　　所以就教教大家如何來開關防火牆的Port。

WindowsXP SP2的防火牆

　　WindowsXP從SP1大改版到SP2時，其中有一個項目就是多了「Windows防火牆」，所以如果你是用WindowsXP SP2以前的系統，最好就是再裝個防火牆會比較安全一點。
　　要如何看你的電腦的版本是什麼呢？請打開「控制台」後，再打開「系統」，就會出現如下圖的視窗。

　　

　　WindowsXP系統有兩種，一種為Home家用版，另一種為Professional專業版，而版本只會有三種情況，Service Pack 2、Service Pack 1以及空白，不是SP2就是SP1，要不然就是最早的WindowsXP。
　　如果你的系統是最早的WindowsXP或是SP1的話，那你要跟著也升上SP2嗎？
　　想跟著升上SP2還要看你電腦的配備等級來決定，當初微軟更新了SP2，真的是災難一場，有些人一更新完SP2，電腦就再也開不進去WindowsXP裡了，像我就是一個例子，後來，華碩緊急的將BIOS改版，才得以解救，所以，買主機板或是電腦系統，找大廠是很重要的。
　　再來要考慮的就是你的配備了，如果你的電腦的CPU未達 PentiumIII 600MHz、記憶體未達512MB，你也最好別升級至SP2，升級到SP2會使你的電腦效能全都用在Windows上。
　　相同的情況在最新的Windows Vista也是一樣，如果你的電腦沒有Pentium4以上、1GB記憶體以上(記憶體最好2GB)、GeForce6200以上的外接顯示卡，就算你的電腦剛好可以安裝Windows Vista， 最終電腦的效能也是完全貢獻在Vista上，你的應用軟體只能在一邊乾瞪眼。
微軟Microsoft提供的WindowsXP Service Pack 2網路安裝套件下載

• 檔名：WindowsXP-KB835935-SP2-CHT.exe
• 容量：277.2MB 訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

防火牆

　　在上一段有說到我將一些未知或不明的電腦連接埠(Port)給關掉，那你可知電腦的埠口(Port)一共有幾個嗎？答案有65535個。有這麼多可以對外的連接埠，如果沒有防火牆來管理的話，就知道會有多危險了，就好像機場沒有安檢，要是有炸彈客就遭了。
　　要知道自己的電腦上目前有哪些連接埠正在使用，你可以在命令提示字元中輸入netstat指令。你也可以輸入netstat -?來取得更多的使用說明，以下兩個為常用參數（a與n)，兩個參數可以單獨使用，也可以一起使用如：-an。

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval] 　　-a 顯示所以已連結以及正在監聽的埠口( Displays all connections and listening ports.) 　　-n 用數字的方式來顯示位址與埠口(Displays addresses and port numbers in numerical form.)

　　輸入netstat的意思就是說「只列出目前已經接通的服務項目」，以我的電腦為例：

Active Connections Proto (協定)Local Address (本地位址)Foreign Address (外部位址)State (狀態)
TCP	t2-p:1047	by1msg5176515.phx.gbl:1863	ESTABLISHED
TCP	t2-p:1131	host189.scheduleonline.com:http	ESTABLISHED
TCP	t2-p:1153	192.150.20.118:http	ESTABLISHED
TCP	t2-p:1201	localhost:1200	TIME_WAIT

　　在我的電腦可以看到有四項是已經接通的，其中有三項是ESTABLISHED代表已經連線，而TIME_WAIT代表等待連線，接下來你可以開始一個一個關掉你覺得會使用到網路資源的程式，如即時通、IE瀏覽器...等等，你也可以使用工作管理員來關閉沒在工作列上的程式，詳細操作說明請參考電腦中毒，使用工作管理員的解毒方法這篇文章。
　　當我關掉Windows Live Messenger，也就是MSN即時通時，再來執行一次netstat就會發現到原本從我的本機電腦t2-p的1047埠口連線到遠端電腦by1msg5176515.phx.gbl的1863埠口不見了，這就代表原本已接通的第一項服務項目就是MSN即時通。
　　你可以重覆操作這些部驟，直到搞清楚你自己電腦所有對外的埠口都是哪些程式在控制，以便知道是否有不明的程式在控制。　　
　　當你將這些佔用網路資源的程式暫時終止掉時，你會發現256K的速度原來也有遲來的春天。

WindwosXP SP2防火牆

　　市面上防火牆的軟體有很多，雖然功能都很強，不過我覺得一般人用WindowsXP SP2裡的防火牆就足夠了。
　　現在就打開你的Windows防火牆設定吧！請你打開「控制台」裡的「Windows防火牆」，如下圖：

　　注意一下，你的防火牆設定是否在「開啟」的狀態(強烈建議你一定要將防火牆給開啟)。另外，如果你想要暫時的封鎖所有的外部連線，就將「不允許例外」給打勾。
　　接下來就選到例外頁籤的畫面，如下圖：

　　請你在「程式和服務(P)」裡選擇你想要讓它通過，或是不想要讓它通過的程式，想讓它通過就打勾，不想讓它通過，就不打勾。
　　如果有程式沒列在上面的，而你想要讓這個程式通過的，你可以透過「新增程式(R)」或「新增連接埠(O)」來讓它通過。

一個好習慣

　　在這不得不說一下，有時候我們安裝了一個程式後，第一次要執行這個程式時，這時如果這個程式有要用到網路資源的話，Windows往往會在這個時候跳出一個詢問你的視窗，有很多人好像是看到仇人般的全部都按拒絕，或是當個好人，全都按通過，這都是不對的行為，你應該根據你的需要來按。

　　如果你執行了跑跑卡丁車這個程式後，跳出來問你，你應該就可以確定這個是跑跑卡丁車的程式，所以當然就按通過；如果瀏覽網頁瀏覽到一半，或是玩單機版你覺得它不需要用到網路的程式，Windows忽然間跳出詢問你的視窗，這時你就知道這一定是有鬼，就應該拒絕讓它通過。

蔡逸竹

尋找木馬間諜程式新利器PC Tools的Spyware Doctor

軟體介紹

　　Google的軟體集中，前一陣子新增了一位成員訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。的訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。，後來安裝了之後才發現，這真是一個解木馬程式的好東西，因為它抓到其它Lavasoft Adaware抓不到的一些木馬程式，兩套軟體可以配合著使用。

訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

　　你可以到Spyware Doctor去抓軟體來安裝，但是!!!
　　在官方網站下載的軟體需要註冊才能做「清木馬」的動作，沒做註冊之前你只能「抓木馬」。
　　所以請你使用下方連結的Google工具集來安裝訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。的訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。，Google工具集安裝的Spyware Doctor會主動註冊入門版的權限，唯有如此，才可以做「清木馬」的動作。

操作說明

　　Spyware Doctor的操作相當的簡單，你可以從右下角的工作列小圖示中，或是從開始功能表裡面，將Spyware Doctor打開，打開後如下圖，使用滑鼠左鍵按一下「立即掃描電腦」(如果你已經一段時間沒有用過Spyware Doctor的話，你可以先按上方的「Smart Update」先更新病毒定義檔。

　　當你按下按鈕後，電腦隨即開始做掃描的動作，如下圖：

　　在上圖可以看到，Spyware又從我的電腦抓出一些木馬程式，如Crack Spider、CWS...等等，可見Spyware真的有他的一套。
　　掃描結束後，如下圖，你可以直接按下「修復選定項」來修復所掃到的木馬程式。

　　再來會出現一個法律聲明，內容如下：「請注意，從電腦中移除某些已偵測到的項目可能會終止您經授權以繼續使用最初安裝這些項目的主機程式的權利，並可能使主機程式停止運行。請仔細.....」

　　他的意思大概就是說，Spyware Doctor在付費升級前，若是你使用Spyware Doctor清除了已經偵測到的木馬間諜程式，它就有可能會停止運作。不過這比直接去官方網站下載軟體來安裝好一點，至少還可以清個幾次木馬間諜程式，直到被暫停使用為止。

　　最後完成的畫面如上圖。
　　如果無法主動清木馬程式的話，也不是那麼的糟，讓軟體來幫你抓到木馬間碟程式的位置，最後再根據所抓到的木馬間諜程式去手動清除它，或是到Google搜尋相關的資料也是一個不錯的做法；若不要這麼麻煩的話，你可以花點小錢來訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。。
補充說明
當你安裝了Spyware Doctor之後，如果覺得它佔用了太大的系統資源而使系統慢下來了，你可以在解完毒後，再將它給移除。