工作到了一半,突然出現了警告視窗,電腦中毒了嗎?!
相信您曾經看過這樣的畫面,可是這些畫面似乎又跟自己安裝的防毒軟體好像不太一樣,這到底是怎麼一回事呢?
事實上,這些警告訊息都只是偽裝的,看起來像是防毒軟體正在幫您掃描電腦,其實背後已經有真正的惡意程式悄悄的植入您的系統中,
偽裝的防毒軟體在近年來已成為一種趨勢,且絲毫沒有減退的現象,不管是網頁,電子郵件,甚至時下流行的社群網站如Twitter、Facebook等,都已經成為FakeAV散播的溫床.
想要預防這些偽裝的防毒軟體入侵您的電腦,您就必須要了解它的特性,我們將提供您一些小秘訣,讓您能夠很快的分辨出這些偽裝的防毒軟體.
感染FakeAV變種病毒後電腦會產生以下反應:
1.桌面會跳出自動掃描的視窗,並有許多錯誤訊息出現
2.桌面圖示全部消失
3.開始功能表中的程式集消失
4.檔案全部變成隱藏屬性
5.工作管理員無法開啟
6.我的電腦中看不到磁碟機
秘訣1:真正的防毒軟體不會未經使用者同意即主動安裝並進行「掃描」這個動作.
過去我們曾經提到過,駭客會利用搜尋引擎導引使用者連結到Fakeav的網站,使用者可能會看到類似下面的畫面:
當使用者按下「OK」按鈕即允許同意惡意程式自動安裝在系統中並直接進行掃描.
真正的防毒軟體是不會用這種方式運作的,使用者對程式有控制權,在安裝與掃描惡意程式之前都會在使用者知情的情況下執行,不會自動安裝.倘若您的電腦裡有防毒軟體但您卻不記得曾經安裝過它,就可能是偽裝的防毒軟體.
秘訣2:現今的防毒軟體以不打擾使用者為目標
以前,防毒軟體有時候會讓使用者覺得困擾,尤其是在掃描到病毒的時候.但現在,許多合法的防毒軟體廠商改善了它們的使用介面,以不讓使用者感覺到麻煩為目標.
相反的,假的防毒軟體會不斷的顯示惱人的訊息來引起使用者的恐慌.以下是一些假的防毒軟體警示的畫面:
秘訣3:若您不斷的被提醒必須啟用這個產品,那有可能是假的防毒軟體.
新的FakeAV變種有看起來非常專業的使用介面,但是每個有用的功能都要求使用者要啟用軟體 後才能使用,這是因為它們的主要目的是在賺取金錢,最好的方法就是透過使用者啟用的方式.
另外一種常見的方式來分辨假的防毒軟體,真正的防毒軟體將會解決所有掃描到的威脅,而不會要求使用者先付費才做清除.而假的防毒軟體會要求使用者付費後才能獲得解決方案.
秘訣4:掃描引擎是您的好朋友
網路上有句話說:Everything is just a Google search away. 如果您覺得可疑,使用搜尋引擎搜尋相關資料並不會有造成甚麼損害.若您對您系統中防毒軟體的真偽有疑慮,請記下產品的名稱,若是真正的防毒軟體,您可以很快的找到合法的網頁.若搜尋的是假的防毒軟體,通常會找到其他使用者受到感染的報告.
秘訣5:我的系統被感染了,怎麼辦?
趨勢科技提供偵測且移除假的防毒軟體,專門清除假防毒軟體的免費工具:
使用方法:
- 下載到暫存資料夾中執行解壓縮
- 執行FakeAVRemover.exe,會出現授權合約,請選擇「Accept」後按「Next」,即會出現下列視窗:
若您想完整掃描系統中所有執行中的處理程序,請按「Scan All Processes」 - 若您只想掃描特定的處理程序,請按「Scan Selected Processes」,然後選擇您想掃描的處理程序並點選「Scan Now」
- 如果您看到系統出現很像FakeAV的畫面想要對它做掃描,可點選「Scan a Window」,將準心圖示拖曳至畫面上放開後即可進行掃描
- 會跳出掃描處理程序的畫面
- 當掃描程序結束,會列出所有跟這個畫面相關的處理程序與登錄值
- 選擇您未曾編輯或修改過的項目並點選「Clean」
- 若您不小心刪除到正常的檔案或登錄值,點選「Quarantine」標籤後,勾選您所要復原的項目並按「Restore」按鈕.
若您的電腦感染 Fake AV 後無法點選開始功能表或檔案總管執行 FakeAV Remover
請依照下列步驟執行:
- 使用快捷鍵 Windows 鍵(鍵盤上有 Windows 視窗符號的按鈕) + 英文字 R 鍵可開啟執行視窗
- 輸入 cmd 後按 Enter
- 在命令提示字元中輸入 ”%Programfiles%\Internet Explorer\iexplore.exe” 然後按 Enter
- 瀏覽器開啟後輸入下述網址
http://solutionfile.trendmicro.com/solutionfile/EN-1056510/EN/svchost.exe - 將檔案儲存到C:\ (Windows 7無法儲存至C:\,請改存放至其他暫存目錄)
- 回到命令提示字元視窗,輸入 C:\svchost.exe 並按 Enter
- 執行掃描或選擇需要掃描的處理程序進行清除與修復
-
在命令提示字元中依序輸入以下指令
attrib –h c:\*.* /s /d
attrib –h d:\*.* /s /d
-
打開以下路徑:
C:\Documents and Settings\All Users\Application Data
C:\ProgramData
刪除可疑的亂碼程式,例如6DSS92c31Apgjk.exe和iXeCoRGTCNoNBmj.exe
- 下載修復登錄檔,解壓縮後執行restore_RET.1.reg ,重新開機後,即可恢復正常運作,收工