萌萌看板娘：


淦...右手殘把分頁關了，還好我用的是火狐，不是IE (燦笑)
不然我可能會直接摔電腦 Orz

序：
前一篇"電腦與病毒"教了簡單的清毒作法，但是確有很多缺點
像是有些病毒檔防毒軟體還掃不到的狀況下，會造成清除不完全而一直重生的慘況

此篇只教一種程式，SREng，其他其實還有很多，要一一介紹其實介紹不完
此程式算入門篇的，方便簡單，但也有些缺點
例如，exe檔感染型的病毒其實他沒察覺，除非他自己主程式也被感染
因此，個人是認為防毒軟體是一定要灌的，至少會保護執行檔，就如前一篇所說
下面的連結是本人之前打的SREng基本用法，對於常用的部分都有詳盡解說
如何使用SREng
_______________________________________________________________

進入主題：
看這種東西，最重要的就是『Google+經驗』(請不要相信"奇毛子"(拖)

順便附送一個google查詢方法""在要查詢的東西兩邊打上"查出來的就是完整搜尋

看SREng有幾個重點，最簡單的就是看檔案位置，如果有你沒看過的東西，就去google查一下

舉例來說，下面是註冊表的某個東西，我用藍色標起來的是登錄檔的位置
紅色標起來的地方就是檔案位置，而綠色則是登錄檔的值
最先要注意的就是檔案名稱，也就是紅色的部分

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]     <WinSysW><C:\WINDOWS\swchost.exe>  []

像上面來說，去google查一下可以知道，一般我們電腦裡面只有
"c:\windows\system32\svchost.exe"
很明顯的，上面那個檔案就是病毒，這時候就可以把這東西刪除了

這算最簡單的，剛開始，你可能每個檔案都要查
一份SREng日誌你可能會看到1~2小時，甚至更久
但是久而久之，以後就大概知道哪些是病毒了。

在看註冊表的時候要多注意一些東西，例如下面那行，IFEO映象劫持之前在入門篇提過吧

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]     <IFEO[ctfmon.exe]><C:\WINDOWS\inf\MsnSvc64.exe>  [N/A]

在SREng裡面可以顯示出來，而且SREng也附送你刪除這些機碼的功能，強力給他刪除就對了=3=

再來是註冊表的"Useinit"這個地方有時候會被修改掉!!，例如下面那行

<Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\smss.exe,>

正常的"Userinit"只有

<Userinit><C:\WINDOWS\system32\userinit.exe,>

這時候就要打開SREng點選這個按編輯，把"C:\WINDOWS\smss.exe"這個去掉再按確定就可以了

說到AutoRun.inf

這是某隻kavo病毒產生的autorun.inf，在SREngLOG會顯示在正在運行的程式下面
在刪除時不只要刪除autorun.inf
還要看autorun.inf啟動了什麼東西，例如這Autorun.inf會呼叫"ntdelect.com"、"ntdeIect.com"
請順手也把這兩個檔案列入要刪除的行列中=3=

另外，看看這個hosts

127.0.0.1       localhost 127.0.0.1       bar.baidu.com                   #百度IE搜索 127.0.0.1       3721.com                        #3721 127.0.0.1       3721.net                        #3721 127.0.0.1       cnsmin.3721.com                 #3721 127.0.0.1       cnsmin.3721.net                 #3721 127.0.0.1       download.3721.com               #3721 127.0.0.1       download.3721.net               #3721 127.0.0.1       www.3721.com                    #3721 127.0.0.1       www.3721.net                    #3721 127.0.0.1       zwsw.3721.net                   #3721 127.0.0.1       ad4.sina.com.cn                 #sina 127.0.0.1       ad.cn.doubleclick.net           #sina

一般來說只會有第一行這個

127.0.0.1       localhost

不過有後面幾行並不一定有問題，例如這個host屏閉了"3721"跟"百度搜霸"

也有遇過host有問題的(我只擷取一段，因為太長)
也看過屏閉掉一堆防毒網站的host(一樣只列舉幾個)

127.0.0.4       www.virustotal.com 127.0.0.4       kaspersky.com

如果只有幾個的話，一個一個慢慢刪除就可以了，太多的話就直接點選重置吧

其實打這麼長一篇，重點在於，只要看檔案路徑就好了


沒看過的東西去google查一下都會有答案，如果google查不到的一般就是病毒了

另外，如果某個檔案，你判斷不出來到底是什麼?

是命名很鳥的系統檔?又或是取名很讚的病毒檔?
這邊提供你一個非常方便的網站，單檔掃毒，一般稱做VT
VirusTotal 是一款可疑檔案分析服務，通過各種知名反病毒引擎
對您所上傳的檔案進行偵測，以判斷檔案是否被病毒，蠕蟲，木馬，以及各類惡意軟體感染。
內建很多知名引擎，例如"卡巴斯基"，"諾頓"，"小紅傘"，"ESET"等等
但是有些，例如有些危險軟體，又或者是破解檔都有可能被判斷為病毒
也有些誤判可能，例如系統檔被誤判，造成誤殺的情況，雖然不常見
也因此，掃出來的檔案，用戶就必須自行判斷了是非了

VirusTotal網址

http://www.virustotal.com/zh-tw/

PS：功能越強大的軟體，附帶的危險性也就越強
     　像是冰刃很好用，但是砍了系統檔可是一點也不好玩
     　個人建議，在真的完全瞭解該檔案以後才做處理動作
     　不然，一手殘成千古恨可是會讓人哭笑不得的 (?)