惡意程式碼移除工具之入門套件

處理感染問題

發佈日期: 2007 年 7 月 10 日

在任何組織中,都存在著惡意軟體的威脅。本指引的這一節假設您有理由相信,您的電腦或組織中的其他電腦已受到感染。您可以使用這一節所描述的 4 階段處理程序,來協助您判斷問題的本質、遏制擴散、使用來自 Microsoft 和其他協力廠商的免費惡意程式碼掃描工具移除它、確認已移除惡意程式碼,以及在必要時繼續其他的步驟。

由於惡意程式碼具有多變的性質,因此,沒有單一防毒軟體或反間諜軟體解決方案能夠保證可阻擋所有的攻擊。如果在遵照這一節的各個階段實作之後,您還需要惡意程式碼相關問題的進一步協助,請連絡 Microsoft 產品支援服務:

本頁內容

第 1 階段:採取因應措施
第 2 階段:掃描電腦上的惡意程式碼
第 3 階段:使用套件執行離線掃描
第 4 階段:其他的步驟

第 1 階段:採取因應措施

當您使用的電腦有惡意程式碼問題時,如果您無法在電腦上執行防毒軟體,請立即切斷電腦與網路的連線,關閉電腦,直接參考<第 3 階段:使用套件執行離線掃描>。

收集資訊

  • 開始出現問題時,發生了什麼情況?

  • 出現問題之前,電腦正在進行什麼作業?

  • 本機防毒程式是否有報告什麼異狀?

  • 電腦上有包含任何未備份的重要資料嗎?

  • 該電腦系統最近瀏覽過哪些網站?

  • 電腦上是否有執行與標準處理程序不同的處理程序?

在盡量收集有關感染的資訊之後,下一個階段是要啟動清除處理程序。

附註 附註:

取得可疑處理程序或檔名的清單很有幫助,因為您可以從網際網路上了解並判斷它們是否為惡意程式碼。

第 2 階段:掃描電腦上的惡意程式碼

依給定的程序執行下列步驟,以便有效地利用安裝在電腦上的反惡意程式碼軟體,以及對惡意程式碼執行線上及離線掃描:

  1. 在電腦上執行防毒軟體和反間諜軟體。

  2. 執行線上掃描工具。

  3. 在含網路功能的安全模式下執行線上掃描工具。

步驟 1:在電腦上執行防毒軟體和反間諜軟體

對病毒感染啟動電腦完整掃描的方法,會視防毒應用程式而定。請參考程式的說明資源,以了解如何執行完整病毒掃描。

掃描間諜軟體的方法類似掃描病毒。您的電腦上應該執行即時間諜掃描軟體。執行 Windows XP 的電腦可免費使用 Windows Defender。如果您執行 Windows Vista,則 Windows Defender 已包括在作業系統中。若要啟動 Windows Defender,請依序按一下 [開始][所有程式][Windows Defender] 開啟程式,然後按一下 [掃描]

有關 Windows Defender 如何運作的詳細資訊,請參閱 TechNet 上的 Windows Defender 技術概觀 (英文)。

步驟 2:執行線上掃描工具

Windows Live OneCare 安全掃描器

其他線上掃描軟體提供者包括:

VIRUSTOTAL

步驟 3:在含網路功能的安全模式下執行線上掃描工具

完成線上掃描之後,如果您仍然懷疑電腦上有惡意程式碼存在,請在安全模式下重新啟動電腦,並再次執行線上掃描。在安全模式下再一次完成線上掃描之後,您可以使用離線掃描工具,例如本指引建議與此套件一起使用的工具。

如需如何以安全模式啟動電腦的詳細資訊,請參閱:


第 3 階段:使用套件執行離線掃描

若要使用惡意程式碼移除工具之入門套件,請從光碟啟動電腦,然後使用離線掃描工具來修復「離線」的主要硬碟機。如此一來,您才不會使用電腦上的硬碟機來啟動電腦或掃描它。執行線上掃描時,需要您使用正常開機程序啟動電腦,但這會從電腦的硬碟機載入作業系統檔案,亦即在掃描期間作業系統會鎖定這些檔案。若要存取並移除已遭惡意程式碼竄改或毀損的系統檔案 (通常會被作業系統鎖定的檔案),您需要採取像本指引所給定的離線處理程序。

重要 重要:

如果磁碟已使用像 BitLocker™ 之類的工具加密、如果該磁碟是當做 RAID 磁碟區的一部分來管理,或磁碟已受損,則您將無法掃描磁碟中的惡意程式碼。在這些情況下,或如果您不確定磁碟的狀態,請諮詢專家以判斷它的狀態。

由於惡意程式碼具有多變的性質,因此從電腦清除惡意程式碼的處理程序,無法保證 100% 有效。Microsoft 已測試過<準備離線掃描的套件>這一節所描述的處理程序,只能當做最佳效果的解決方案。本指引的<規劃因應之道>一節,有提供如何建立一個使用免費工具之 Windows PE 套件的指示,您可以從線上取得這些免費工具,以掃描組織中執行 Windows XP SP2 或 Windows Vista 的電腦上的惡意程式碼。

第 4 階段:其他的步驟

使用此套件的指引之後,如果惡意程式碼似乎仍然危害著您的電腦,還可選擇使用系統還原工具,使電腦還原至之前的良好狀態。系統還原工具會建立重要系統檔案和一些程式檔案的「快照」,並在電腦的硬碟機上將這些資訊儲存為還原點。您可以利用這些還原點,將作業系統回復到之前的狀態。如需系統還原的詳細資訊,請參閱下列資源:

如果此時電腦仍然出現惡意軟體相關問題的徵兆,您有兩個選項:

  • 向專業人士求助。

  • 重建電腦。

如果惡意軟體有辦法避免本指引所給定之 Windows PE 套件的惡意程式碼掃描功能,則您很可能需要尋求專業人士的協助來移除惡意程式碼。由於向專業人士求助可能需要時間和成本,所以更快速又經濟的選項,通常是刪除電腦硬碟上的檔案,然後重新安裝作業系統和軟體程式。

如果您選擇重建電腦,請確定只使用信任的媒體進行該處理程序。重建電腦,並確定所有更新項目和防毒軟體均已套用至電腦,然後才使電腦連上網路,以防仍然正在四處傳播的病毒。


下載

取得惡意程式碼移除工具之入門套件

更新通知

請立即註冊,以獲悉最新資訊和新版本的推出

意見回饋

請將您的寶貴意見或建議傳給我們



顯示: