解毒教學專區

  Q. 我的電腦中毒或遭入侵了,怎麼辦?
  A. 中毒或遭入侵通用處理方式:
   
先將網路線拔除,由別部電腦上網至趨勢科技網頁下載 Trend Micro System Cleaner 及 最新的病毒碼 (點選Consumer Pattern),然後copy至有問題之電腦上,放置於同一資料夾下並將病毒碼解壓縮。
 archive 2841 915cfe46
重新開機至安全模式(開機程序時按F8),於安全模式下執行sysclean.exe(Trend Micro System Cleaner)。若找到病毒或入侵檔案會刪除。
開啟防火牆(XP:開始/控制台/Windows防火牆)後重新開機至一般模式。
開機後執行Windows update(於開始/所有程式/Windows update),及開始/控制台/自動更新設為「自動」。
確定防毒軟體之有效性,即防毒軟體為啟動且病毒碼為最新的狀況下。
  使用 netstat 或 TCPView 檢查不尋常連線
   
在開始功能表,附屬應用程式裡選擇 "命令提示字元",在畫面中輸入 "netstat -na" ,即可以 IP 的形式顯示本機上的網路連線列表。
 archive 2838 77ec161f

檢查是否有不尋常連線,例如:

1.若電腦未開啟網頁服務(80 port),在本機位址卻有IP:80對外建立連線,則是異常連線,需使用TCPView觀察程式的執行是否有異常

2.若電腦未開網頁瀏覽器(IE或Google Chrome等),在外部位址卻有IP:80建立連線,則是異常連線,需使用TCPView觀察程式的執行是否有異常。

另外也可利用微軟提供的 Windows 工具 TCPView ,它的用途與netstat類似,同樣可顯示系統上所有 TCP 與 UDP 端點的詳細清單及連線狀態
TCPView 更提供擁有端點的處理程式名稱,在發現不尋常連線後,更可以知道是產生問題的程式
點選 此處下載TCPView ,解壓縮後執行 Tcpview.exe ,即可顯示連線列表及狀態
 archive 2839 cd993575
實例測試:開啟網頁瀏覽器僅瀏覽學校首頁,可在 TCPView 中看見網頁部分只有對於學校首頁的連線。
 archive 2842 6ceb3eca
參考資料:
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
http://technet.microsoft.com/zh-tw/sysinternals/bb897437.aspx