| 前言 無法顯示隱藏檔 無法執行工作管理員(taskmgr) IE 首頁被竄改且無法在網際網路選項中修改 網路可連結、ping 也 ping 得到,然而所有網路服務仍然無法使用 其它可協助檢查登錄檔的工具 前言 所謂「惡意軟體」(malware)就是泛指病毒(virus)、蠕蟲(worm)以及木馬(Trojan horse)這類會對電腦系統與使用者資料產生傷害的軟體程式。惡意軟體往往會修改 Windows 系統的登錄檔(registry),去限制系統的某些功能,來防止自己被使用者發現並排除掉。然而就算成功將惡意軟體刪除後,這些被修改的登錄檔值仍然存在,所以要讓系統完全回復原狀,就必須手動去將登錄檔修改回來。 因此,DR 收集了幾個常見的狀況排除方法,之所以會有這篇文章是因為 DR 時常要幫別人處理這類的問題,也就時常要 google 來 google 去的,於是就乾脆彙整起來以利查閱,另外也補充一些個人的小建議。 注意:以下狀況排除應該是在惡意軟體被確認刪除後才處理,勿本末倒置。 無法顯示隱藏檔 這類很多是中了來自隨身碟的惡意軟體,關於隨身碟的安全防治請參考:如何關閉 Windows 的 Autorun 功能。 至於處理的方法,請執行 regedit,並進入以下路徑: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 將 CheckedValue 值改為 1,如果 CheckValue 類型為 REG_SZ,就請直接將 CheckedValue 刪除,並自行新增一個 CheckedValue,類型為 REG_DWORD,而數值為 1。之後調整資料夾選項就可正常顯示隱藏檔。 另外其實也可從命令行介面 (cmd)去處理隱藏檔,就不會受到登錄檔遭更改的影響,例如用 dir /ah 來顯示隱藏檔,用 dir /ah /f 來強制刪除隱藏檔。假設在任何的磁碟目錄底下看到 autorun.inf、非完全大寫的 NTDETECT.COM(切勿將正常的那個刪除掉)以及任何的隱藏執行檔 *.exe、*.com 等,就將它們全部刪除吧。 無法執行工作管理員(taskmgr) 請執行 regedit,並進入以下路徑: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 將 DisableTaskMgr 設為 0 或直接刪掉。 事實上,Windows 的工作管理員不是唯一可用來查看系統程序的工具,DTaskManager 和 Process Explorer 都是擁有相同功用甚至更為強大的工具,可以先行下載存放以備不時之需。 IE 首頁被竄改且無法在網際網路選項中修改 請執行 regedit,並進入以下路徑: HKEY_CURRENT_USER\Software\Policies\Microsoft 將 Internet Explorer 整個目錄刪除,這個時候,DR 又要再一次推薦使用 Mozilla Firefox…… 網路可連結、ping 也 ping 得到,然而所有網路服務仍然無法使用 這類問題通常可使用 tracert 指令驗證。至於修復的方法可在命令行介面執行以下指令: netsh winsock reset 或者使用 WinsockXPFix 這個工具修復。請注意,如果你的網路需要特別指定 private IP 等 TCP/IP 設定才能使用,請先自行記錄下來,因偽 WinsockXPFix 會通通回復預設值。 其它可協助檢查登錄檔的工具 這類的軟體其實很多,DR 在此推薦幾個免費且頗為合用的: SmitFraudFix - 小巧且針對常見的惡意軟體做快速檢查與清理。 Spybot-S&D & Ad-Aware - 較為大型且完整的惡意軟體清除工具。 CCleaner - 可協助清理惡意軟體被刪除後所形成的「垃圾機碼」。 AutoRuns - 微軟提供的載入程序檢閱工具。 HijackThis - 登錄檔分析,適合進階使用者。 RegSeeker - 方便處理系統啟動程序的相關登錄檔。 →Back to DarkRanger.no-ip.org |