怕我自己忘記,所以記下來!遇到病毒先從這裡下手喔!
資料夾:
1. C:\Documents and Settings\Administrator\「開始」功能表\程式集\啟動
2. C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動
登陸機碼:
1. Load註冊碼:沒啥好解釋的。
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
2. Userinit註冊碼:但這個碼允許指定用逗號分隔的多個程序,例如「userinit.exe,OSA.exe」(不含引號)。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
3. Explorer\Run註冊碼:兩個位置HKEY_CURRENT_USER 和 HKEY_LOCAL_MACHINE下都有。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
4. RunServicesOnce註冊碼:用來啟動服務程序,啟動時間在用戶登錄之前 (註冊碼中最先啟動的)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
5. RunServices註冊碼:緊接RunServicesOnce指定的程序之後啟動,兩者都在用戶登錄之前啟動
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
6. RunOnce\Setup註冊碼:用戶登錄之後啟動的程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
7. RunOnce註冊碼:HKEY_LOCAL_MACHINE下面的RunOnce碼會在用戶登錄之後立即動作,時機在其他Run碼指定的程序之前。HKEY_CURRENT_USER下面的RunOnce碼在操作系統處理其他Run碼以及「啟動」文件夾的內容之後動作。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
8. Run註冊碼:KEY_CURRENT_USER下面的Run碼緊接HKEY_LOCAL_MACHINE下面的Run碼動作,兩者都在處理「啟動」文件夾之前
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2006-12-15
2006-11-30
負面標的--破紀錄
自從前陣子病毒爆發後,幾乎每天都可以接到幾通電腦中毒的電話來問候
但是...今天一大早,就電話響個不停,嗯嗯~~~目前時間10:01,電腦中毒通報電話已經堂堂邁入第9通,真想知道到底還有多少人是還沒打電話正要打的
不過令人隱憂的是,這些電話的地點又是地下室高達90%,可見的上次的大舉更換系統硬碟的動作,似乎沒有太大效果,看來再次淪陷只是時間問題
同事一直懷疑是地下室的Internet沒有管制的關係,可是我倒是覺得是我們的防護措施做的太少,只是消極性的治癒,而沒有主動的防禦;照理講,防毒系統能偵測出病毒,應該就能預防並防禦病毒,但目前狀況並非如此,清掉的病毒,過幾天又回籠了!這證明我們的防禦出問題了!
嗯~~~~就是這樣,只知道生病吃藥,卻忘記要預防生病,以前不知道是誰告訴過我,外科醫生常喜歡建議病人開刀,開掉生病的部位,感覺上這和我們在處裡事情的情況上還真像
中毒嗎?沒關係~~來開個刀吧!
但是...今天一大早,就電話響個不停,嗯嗯~~~目前時間10:01,電腦中毒通報電話已經堂堂邁入第9通,真想知道到底還有多少人是還沒打電話正要打的
不過令人隱憂的是,這些電話的地點又是地下室高達90%,可見的上次的大舉更換系統硬碟的動作,似乎沒有太大效果,看來再次淪陷只是時間問題
同事一直懷疑是地下室的Internet沒有管制的關係,可是我倒是覺得是我們的防護措施做的太少,只是消極性的治癒,而沒有主動的防禦;照理講,防毒系統能偵測出病毒,應該就能預防並防禦病毒,但目前狀況並非如此,清掉的病毒,過幾天又回籠了!這證明我們的防禦出問題了!
嗯~~~~就是這樣,只知道生病吃藥,卻忘記要預防生病,以前不知道是誰告訴過我,外科醫生常喜歡建議病人開刀,開掉生病的部位,感覺上這和我們在處裡事情的情況上還真像
中毒嗎?沒關係~~來開個刀吧!
2006-10-04
病毒:PDLL.DLL
病毒主檔:svchost.exe
病毒子檔:PDLL.DLL
請注意!病毒主檔的檔名為svchost.exe,和windows的系統檔案檔名svchost.exe完全一模一樣,但是可以由病毒檔的存放路徑判別出來
正確的windows系統檔案存放路徑
C:\Winnt\System32\Svchost.exe
C:\Winnt\System32\Rundll32.exe
病毒檔案可能存放路徑
1.C:\Winnt\Svchost.exe
2.C:\Program Files\Windows Media Player\Svchost.exe
3.C:\WINDOWS\Config\Svchost.exe
4.C:\Winnt\Rundl132.exe
解除程序:
1.進入 『工作管理員』 停止 Svchost.exe 的程式處裡程序,通常系統會自動帶起3個Svchost處裡程序,超過3個應該有一個是病毒程序,請用猜的(通常是經過排序後 第1或第2個)
2.進入登錄機碼表(regedit),搜尋Svchost、Rundl132機碼,刪除『非』C:\Winnt\System32\Svchost.exe、C:\Winnt\System32\Rundll32.exe的機碼
3.到開機程序機碼區HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除一些不必要的執行機碼
4.更新防毒程式病毒碼指最新版(請自行確認為最新版本)
5.重新開機
6.執行病毒掃描
7.檢查病毒警示的顯示路徑病毒檔是否刪除,將之刪除!清理垃圾筒!
8.OK!搞定!!
病毒子檔:PDLL.DLL
請注意!病毒主檔的檔名為svchost.exe,和windows的系統檔案檔名svchost.exe完全一模一樣,但是可以由病毒檔的存放路徑判別出來
正確的windows系統檔案存放路徑
C:\Winnt\System32\Svchost.exe
C:\Winnt\System32\Rundll32.exe
病毒檔案可能存放路徑
1.C:\Winnt\Svchost.exe
2.C:\Program Files\Windows Media Player\Svchost.exe
3.C:\WINDOWS\Config\Svchost.exe
4.C:\Winnt\Rundl132.exe
解除程序:
1.進入 『工作管理員』 停止 Svchost.exe 的程式處裡程序,通常系統會自動帶起3個Svchost處裡程序,超過3個應該有一個是病毒程序,請用猜的(通常是經過排序後 第1或第2個)
2.進入登錄機碼表(regedit),搜尋Svchost、Rundl132機碼,刪除『非』C:\Winnt\System32\Svchost.exe、C:\Winnt\System32\Rundll32.exe的機碼
3.到開機程序機碼區HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除一些不必要的執行機碼
4.更新防毒程式病毒碼指最新版(請自行確認為最新版本)
5.重新開機
6.執行病毒掃描
7.檢查病毒警示的顯示路徑病毒檔是否刪除,將之刪除!清理垃圾筒!
8.OK!搞定!!
2006-09-29
日子好過?不好過?
最近被公司病毒的事情搞的有點心情不爽! 經過這次事件,有『人』要我們自己想想,到底問題癥結點在哪邊,聽說不好好想想的話,以後會沒有『好』日子過,這樣的後果真的很嚴重,嚴重到會讓我當不了米蟲王國的國王(我好怕、好擔心喔 = =+),真的要好好給他想想問題在哪裡?
後來很仔細的想,還真的有幾點問題:
關於『人』:對於事件發生的警覺性太低,對於防毒軟體依賴度太高
關於這點,只能說我們的警覺性太低、太疏忽,當有病毒徵兆出現時,只是輕忽的將表面病毒處理掉,沒針對出現的病毒去做深入研究,去研究該病毒真正的危害及解法,以至於問題越來越大,這應該算是人為的疏忽造成!
關於『系統』:系統安全機制漏洞太大
說到這個問題,我就真的是無言以對了,雖然在資訊業中,我算是一個七八流的小腳色,但我也還看的出來,全公司1000多台電腦的最高管理者帳號、密碼通通都一樣,網路芳鄰分享的情況,簡直可以用泛濫2個字來形容!列表機不用分享就不能列印!OS系統$C、$D,完全未設限,只要你願意,公司內部任何一台電腦的資料任何人都可以任意的新增、刪除、修改,而且不會留下任何紀錄,反正留下的紀錄都是Administrator這個人來新增刪除修改的!真是太完美了! 這根本就是脫光光只穿件趨勢這個牌子的三角褲跟病毒、木馬說:歐~~來吧~~上我~~寶貝!
公司電腦能不能上Internet,是個問題,但絕對不是所有問題的根源所在,有時候真的覺得自己還是裝糊塗的好,太累了!我還是當米蟲好一點。
關於『管理』:管理層面方針搖擺不定,缺乏執行力與強制力
這個問題更是讓人無言,資訊室的決議在公司,永遠都是個屁,每次訂下規範,最先淪陷製造例外的永遠是高層人物,一個公司上面的領導人的都不尊重決議,位處下位的我們好像也就沒有必要去再去維持決議、規範的義務。
所以1.『人』的問題好解決,2.『系統』的問題也可以克服,端看有沒有魄力與決心,至於3.『管理』那就是上位者該好好思考的問題了!!
=============我是心情分隔線==========
日子好過?不好過?決定的因素在於看到問題的深淺度,如果僅僅只是把眼光放在近處,永遠去光去看『人』這種不是問題的問題,那想要有好日子我看也是難矣!!
後來很仔細的想,還真的有幾點問題:
關於『人』:對於事件發生的警覺性太低,對於防毒軟體依賴度太高
關於這點,只能說我們的警覺性太低、太疏忽,當有病毒徵兆出現時,只是輕忽的將表面病毒處理掉,沒針對出現的病毒去做深入研究,去研究該病毒真正的危害及解法,以至於問題越來越大,這應該算是人為的疏忽造成!
關於『系統』:系統安全機制漏洞太大
說到這個問題,我就真的是無言以對了,雖然在資訊業中,我算是一個七八流的小腳色,但我也還看的出來,全公司1000多台電腦的最高管理者帳號、密碼通通都一樣,網路芳鄰分享的情況,簡直可以用泛濫2個字來形容!列表機不用分享就不能列印!OS系統$C、$D,完全未設限,只要你願意,公司內部任何一台電腦的資料任何人都可以任意的新增、刪除、修改,而且不會留下任何紀錄,反正留下的紀錄都是Administrator這個人來新增刪除修改的!真是太完美了! 這根本就是脫光光只穿件趨勢這個牌子的三角褲跟病毒、木馬說:歐~~來吧~~上我~~寶貝!
公司電腦能不能上Internet,是個問題,但絕對不是所有問題的根源所在,有時候真的覺得自己還是裝糊塗的好,太累了!我還是當米蟲好一點。
關於『管理』:管理層面方針搖擺不定,缺乏執行力與強制力
這個問題更是讓人無言,資訊室的決議在公司,永遠都是個屁,每次訂下規範,最先淪陷製造例外的永遠是高層人物,一個公司上面的領導人的都不尊重決議,位處下位的我們好像也就沒有必要去再去維持決議、規範的義務。
所以1.『人』的問題好解決,2.『系統』的問題也可以克服,端看有沒有魄力與決心,至於3.『管理』那就是上位者該好好思考的問題了!!
=============我是心情分隔線==========
日子好過?不好過?決定的因素在於看到問題的深淺度,如果僅僅只是把眼光放在近處,永遠去光去看『人』這種不是問題的問題,那想要有好日子我看也是難矣!!
2006-09-27
偷懶病毒解法
有時候發現要貫徹米蟲哲學的精神,卻需要花更多的精神去鋪路!
我的米蟲哲學好像有點....面臨考驗~~
=================我是心情分隔線=================
發現很多病毒的根源,都是在啟動機碼這邊作為運作程序起點,有個通用型的病毒移除方式大概可以對付80%以上的病毒,萬一遇到奇怪難解又有點緊急的病毒需要處理時,可以先試試!
1. 更新病毒碼到最新版 (請自行確定是最新版病毒碼)
2. 進入登錄檔編輯 (regedit)
3. 到開機啟動區路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 下圖為工作地點的PC的原始SOURCE的開機啟動登錄檔機碼,只要看到和下圖不同的(如果是個人或家裡的PC,就自己判斷吧!每個人的PC應該都多多少少有差別),就刪掉吧!除非你確認過多出來的機碼是沒問題的!
5. 重新開機
6. 再執行一次全系統病毒埽描,據經驗應該有80%以上的機會能清除掉病毒
我的米蟲哲學好像有點....面臨考驗~~
=================我是心情分隔線=================
發現很多病毒的根源,都是在啟動機碼這邊作為運作程序起點,有個通用型的病毒移除方式大概可以對付80%以上的病毒,萬一遇到奇怪難解又有點緊急的病毒需要處理時,可以先試試!
1. 更新病毒碼到最新版 (請自行確定是最新版病毒碼)
2. 進入登錄檔編輯 (regedit)
3. 到開機啟動區路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 下圖為工作地點的PC的原始SOURCE的開機啟動登錄檔機碼,只要看到和下圖不同的(如果是個人或家裡的PC,就自己判斷吧!每個人的PC應該都多多少少有差別),就刪掉吧!除非你確認過多出來的機碼是沒問題的!
5. 重新開機
6. 再執行一次全系統病毒埽描,據經驗應該有80%以上的機會能清除掉病毒
2006-09-26
病毒:XXdll.dll 解法
這次病毒事件,其實也引發了我心中大大的不爽,事件爆發當時,快速解決問題的方法,當然是找有相關經驗的人問問是最快的,這種問題時間拖越久越是不利,姑且不論接受詢問的人是否有心去協助,或若僅僅是想趁機凸顯出自己的重要性;而用一些質詢式的方式回應,那就很難讓人打從心裡去認同你的能力了
=================我是心情分隔線=================
最近公司裡發現了有不少PC常常出現「趨勢」病毒警報,檔案XXdll.dll是病毒,但無法刪除與隔離的病毒警訊!這個警訊會一直搶著畫面,讓人很難搶到PC的操作權,就算想辦法殺掉DLL的病毒檔,重新開機後還是會再出現,令人很煩! 更糟的是它完全違反了我的米蟲哲學!!
這個病毒是子母式病毒,DLL檔為子毒,母毒是svhost.exe 或 svhost32.exe,想清除病毒的話,必需連母毒一次清掉才行,不然下次還是會再出現,以下是清除病毒的方式:
1.先用費爾木馬移除助手PowerRmv,將XXdll.dll的子毒移除,搶回畫面控制權。
2.到工作管理員中,找到svhost.exe 或 svhost32.exe將它的作業處裡程序停止。(如下圖)
=================我是心情分隔線=================
最近公司裡發現了有不少PC常常出現「趨勢」病毒警報,檔案XXdll.dll是病毒,但無法刪除與隔離的病毒警訊!這個警訊會一直搶著畫面,讓人很難搶到PC的操作權,就算想辦法殺掉DLL的病毒檔,重新開機後還是會再出現,令人很煩! 更糟的是它完全違反了我的米蟲哲學!!
這個病毒是子母式病毒,DLL檔為子毒,母毒是svhost.exe 或 svhost32.exe,想清除病毒的話,必需連母毒一次清掉才行,不然下次還是會再出現,以下是清除病毒的方式:
1.先用費爾木馬移除助手PowerRmv,將XXdll.dll的子毒移除,搶回畫面控制權。
2.到工作管理員中,找到svhost.exe 或 svhost32.exe將它的作業處裡程序停止。(如下圖)
3.進入登錄檔控制畫面(regedit),搜尋任何與 svhost 或 svhost32 有關的機碼,查到後請記下svhost.exe 或 schost32.exe的路徑位址,並將機碼刪除,再次搜尋,直到完全清除乾淨為止。
4.依照機碼值顯示的檔案路徑,刪除svhost.exe 或 svhost32.exe,這樣就可以完全移除這個子母病毒了!
2006-09-25
辦公室的蠢天 Part01_對話
以下是今天辦公室 我 與 某不認識的一男一女的對話!
人物:大老闆 (男:最偉大的本院員工A)、小老闆 (女:偉大的員工B)、小鱉三( is me)
事由:主系統密碼變更事宜
時間:2006.02.06 PM 04:10
地點:電腦室 小鱉三的座位
經過:
鈴...鈴...鈴.......
小鱉三:『電腦室,您好~~~~』
小老闆:『電腦室喔!請問一下,今天電腦是不是有問題!系統主程式不能進去ㄟ~~」
小鱉三心想,不會吧!難道又當機了嗎?今天才剛過年第一天開工ㄟ
小鱉三:『請問是有什麼樣的問題嗎?』
小鱉三心中忐忑不安的問
小老闆:『系統主程式要我們改密碼,怎麼會這樣???』
語氣中還故作委屈,好像是我故意整她一樣
小鱉三:『喔~~對!今天系統主程式有做過修改,必須更新您的密碼,才能再登入系統』
小鱉三鬆了一口氣的回答,好家在不是當機
小老闆:『ㄚ~~~~~~~這麼麻煩,是今天改的喔!』
拉著你絕不會想再聽第二次的長~~~~長~~~~~~的尾音
小老闆:『那一定要改嗎?不能不改嗎?或者密碼少一點的?』
小鱉三:『不行ㄟ,麻煩你改一下,最少四位數!!』
小鱉三堅決的為密碼最低四位數做出最後的捍衛,阿嘉!我夠意思吧!
此時,經由電話對面傳來的聲音,小鱉三研判 小老闆正向大老闆說明事因,並問大老闆是否還有其他需要問的
換大老闆上場
大老闆:『喂~電腦室喔!為什麼要改密碼?誰規定的?為甚麼都沒通知?』
口氣十分的令人火大,一副他是老爸在教訓小孩一樣!COW~~我對我女兒都還不敢用這樣的口氣
小鱉三:『為什麼要改我也不清楚,只是上午突然就接到永康的通知要改密碼!所以還是麻煩一下!』
聽到大老闆這樣的口氣,小鱉三LP火也燒起來了
大老闆:『為什麼一定要四位數!空白不行嗎?』
一樣是一副老爸罵小孩的口氣
小鱉三:『嗯,最少四位數,不能空白,空白不就等於沒密碼了嗎?』
我也像教小孩一樣的解釋給他聽,只是我教小孩時,比現在更兇一點
大老闆:『對ㄚ,我不需要密碼!誰規定一定要密碼的』
大老闆斬釘截鐵的說
小鱉三:『你不需要密碼?』
這時候,小鱉三的LP火焰已經燒到LP快燒焦了
大老闆:『對!不需要!是誰說要的』
媽的!這種口氣是在期待我們為他再改一次系統設定嗎?還是以為我不敢招出是誰規定一定要設密碼的
小鱉三:『這個問題!我沒辦法回答!你可能要問院長!需要幫你轉嗎?』 小鱉三也耍賤招了
大老闆:『............不用了!』 急忙斷線
小鱉三也跟著摔電話~~~~~~~~~~~整個下午的好心情又毀了~~~~~
訂閱:
意見 (Atom)
