✔ 最佳答案
以下就是我整理出來的解毒流程:
【Step 1】關掉WindowsXP SP2的「系統還原(System Restore)」
你可以從「開始功能表」中開啟「控制台」->「系統」,出現〔系統內容〕對話盒時,請切換到〔系統還原〕活頁標籤,如下圖:
我不曉得該怎麼形容這個「系統還原」,「成事不足,敗事有餘」是我對它的評價,有時真正需要用到它的時候,它都次都給我「還原失敗」,這就算了,這個「系統還原」儲存的地方常常都是病毒的避難所,原因就是防毒軟體沒有辦法清系統還原資料夾(System Volume Information)裡的病毒,所以乾脆就把它關了吧!
【Step 2】儘可能的更新病毒碼(virus definitions files)及掃毒引擎(Scan Engine)
用過很多防毒軟體,其中最滿意的防毒軟體是賽門鐵克Symantec Antivirus,推薦大家也用它。諾頓防毒軟體(Norton Symantec Antivirus)都是使用「立即更新(Live Upate)」去更新病毒碼,可是有時候也會需要去下載病毒碼來更新,如中毒了無法上網,就需要到別台可以上網的電腦去抓病毒定義檔回來更新,以下是常見的防毒/防木馬軟體 (Antivirus/Anti-Trojan horse)相關更新的下載網頁:
賽門鐵克(NortonSymantec)
- 病毒定義檔下載
趨勢科技(Trend Micro)
- 病毒碼下載
- 掃瞄引擎下載
卡巴斯基實驗室(Kaspersky Lab)
- 7.0手動更新病毒碼
- 6.0手動更新病毒碼
Lavasoft Adaware
- Current Definition File下載
如果你電腦沒有安裝防毒軟體,或是你想試試其他家的防毒軟體,你可以透過以下所整理好的防毒軟體下載清單來下載試用。
1) 賽門鐵克Norton Internet Security防毒軟體下載
2) 卡巴斯基Kaspersky Internet Security防毒軟體下載
3) ESET NOD32防毒軟體下載
【Step 3】檢查登錄表(Registry)
先檢查登錄表上有沒有可疑的值,詳細教學請參考「電腦中毒怎麼辦?手動解毒移除教學」一文,如果有檢查到可疑的值,最好可以在清掉上面登錄值前,先將〔登錄名稱〕及〔資料〕抄下來,一方面是為了怕誤殺,一方面是可以手動的找到這個可疑檔案的位置,如果防毒軟體沒有殺掉它的話,我們就可以手動的刪除它。
關於「可疑的值」,你可比對我在本文最後整理的「有問題」及「正常的」登錄值表格,而兩個表格我會持續的更新。
【Step 4】找出可疑的檔案並移除它
在檔案總管或是命令提示字元中找出剛剛抄下來可疑檔案的位置,並刪除它,教學請參考「電腦中毒怎麼辦?使用工具軟體來解毒」一文,若是因為拒絕存取或是檔案使用中,請使用「Windows工作管理員」,在〔處理程序〕活頁標籤中,將有問題的"處理程序",使用視窗下方的〔結束處理程序(E)〕來終止它,如果它還是會再度的出現在就先不用理會它,我們會在【Step 6】進入「安全模式」時來處理它,而有關「Windows工作管理員」的使用請參考「電腦中毒怎麼辦?工作管理員的解毒方法」一文。
【Step 5】使用工具軟體完整掃描電腦
由於需要檢查的地方太多且太雜,使用工具軟體可以幫助我們找到更多我們沒有檢查到的區域,你可以在這裡使用防毒軟體或防木馬軟體來對電腦做完整的掃描,在這個步驟也許會有防毒軟體清除不了的病毒或是木馬程式,別擔心,待會要到「Windows安全模式」再一起解決。相關的教學請參考「電腦中毒怎麼辦?使用工具軟體來解毒」及「尋找木馬間諜程式新利器PC Tools的Spyware Doctor」。
【Step 6】進入安全模式
進入安全模式後,因為系統只載入基本的開機的程序及驅動程式,所以”有可能”病毒就沒有被載入,所以在這個時候來進行清除病毒的動作會比較有效。
接下來就請做:
* 1) 使用「檔案總管」或是「命令提示字元」找到【Step 4、5】因為拒絕存取或使用中而殺不掉的檔案,再試著殺殺看。
* 2) 【Step 3】再次檢查登錄表有沒有可疑的值。
* 3) 接下來再次使用【Step 5】防毒軟體(Antivirus、adaware)再試著清看看。
* 4) 如果在安全模式下刪除有問題的檔案時還會出現檔案正在使用中之類的訊息,請參考【Step 8】特別狀況。
進入「安全模式」的方法,請你在打開電腦之後,看到WindowsXP開始的圖案之前,一直的按「F8」按鍵,之後會出現一個黑底白字的畫面,這時請選擇第一個「安全模式」進入,如果你會命令提示字元,也可以選擇「安全模式(含命令提示字元)」:
之後的畫面如下,請直接按「Enter」繼續。
進入Windows後請選擇一位使用者進入後,你會看到此「桌面」對話盒,這時請按〔是(Y)〕按鈕:
Windows在安全模式下執行。 這是Windows的特殊診斷模式,你可以在這個模式中修正網路或硬體設定所產生的問題。 請確定這些「控制台」的設定正確無誤,再嘗試啟動Windows。在安全模式下,有些裝置可能無法使用。 要繼續在安全模式下執行,請按「是」。如果您想使用系統還原,將您的電腦還原到之前的狀態,請按「否」。
進入到桌面後,你會發現到和平常的桌面不太一樣,四個角落都有「安全模式」的文字,而且顏色變的怪怪的,這是因寪Windows只載入基本的裝置驅動程式。
【Step 7】重新開機
重新開機後,請再回到【Step 3】,再次檢查所移除的程式有沒有復發的現象。
(如果你發現已經殺掉的木馬會一再的復發,就要請找更專業的人士解決,或是重灌了。如果你還想再繼續解的話,你可以上網去搜尋這個木馬的相關資料,再想對策來解決)
【Step 8】. 特別狀況(以下操作比較困難)
特別狀況中的處理方法會使用到一些光碟,有些使用者可能沒有這些光碟所以沒有辦法操作。
1). 如果可疑檔案所在磁碟的檔案系統是FAT32、FAT16,那你可以直接使用Dos開機片開機後再做清除的動作,這時不管什麼檔案,絕不會再出現「檔案使用中或拒絕」的情況。(在這個裡你必需要會基本的Dos指令,才有辦法操作)
2). 如果所在磁碟的檔案系統是NTFS的話,你可以利用WindowsXP的光碟片開機,進入到安裝程式選擇時,按【R】按鍵,進入復原主控台,然後Dos指令清除這些檔案。(在這個裡你必需要會基本的Dos指令,才有辦法操作,詳細進入的方法請參考「電腦突然就不能開機了?NTLDR is missing」)
3). 另外,你也可以使用WinPE光碟直接開機,這時不管什麼檔案或是檔案系統,也都直接可以做刪除的動作,因為開機並不是使用到原本的WindowsXP系統,而是使用光碟上的開機系統)。
你可以下載微軟官方所釋出的WinPE映像檔(繁體),或自行到各大論壇去尋找下載檔。
有關網友FLYMOONX對系統還原的疑問
「病毒真的是都藏在系統還原裡面嗎?」謝謝Flymoonx問了這麼好的問題。
這個答案是肯定的,我有多次看到病毒在「System Volume Information」系統還原資料夾出現過,而且,在Symantec的官方標準解毒程序裡,開宗明義的第一個步驟,就是要關閉系統還原(Disable System Restore) ,其原因就是防毒軟體無法進入這個區域掃毒,所以就要靠關閉系統還原的功能將裡面的病毒清除,以免病毒再次復發。而在病毒完全清除後,你還是可以再次打開系統還原這個功能。
根據微軟Microsoft技術文件說明,「系統還原」功能不允許公用程式操控此資料夾與檔案,由於這一點,防毒程式無法移除此資料存放區中檔案的病毒。
這樣的規則到最後,防毒軟體乖乖的聽從「系統還原」指示不能越軌進入,而木馬病毒只把「系統還原」的遊戲規則當參考用,在資料夾內進進出出的,防毒軟體要抓它時,就躲進去在裡面大笑:「呆子,抓不到~~」。
賽門鐵克其中一種病毒的解毒步驟:W32.Rontokbro.AN@mm
微軟的說明文件:防毒軟體工具無法清除在還原資料夾內受到感染的檔案(Antivirus Tools Cannot Clean Infected Files in the _Restore Folder)