請問如何清除 WebSiteViewer 病毒
適用範圍: Windows XP、Windows
2000
提醒:
無。
問題:
我上網時一時疏忽,在某網站上不知道按了什麼東西,從以後,我的電腦就出現以下症狀:
- 一進入 XP,總是會出現找不到 Modem 的一個小對話窗。(它是英文的訊息)但我沒裝
modem,我上網都是用 ADSL。
- 開機不久,偶有出現 「180search Assistant has successfully been
installed」
- IE 首頁被改成一個英文的搜尋頁,怎麼改都改不回來,隔一段時間就會蹦出廣告。
- IE 開啟沒幾秒鐘就自動關閉了(後來用 Norton 掃毒後修復)
- 桌面上多了一個「Free Pics」的 icon,在程式集裡面多了一個叫 WebSiteViewer
的東西,也是怎麼殺都殺不掉,重開機就回來了。
- 用 Norton Antiviruis 2004 配合最新病毒定義掃毒後,每次開機進入 XP,Norton
總是報告偵測到 trojan.downloader 病毒,但無法刪除。
我想應該是中毒了,所以就用 Norton Antivirus 2004
配合最新病毒定義掃毒後,的確是刪掉了一大堆,解毒之後,除了 IE 恢復可用之外(IE
已不會自動關閉,但首頁還是改不回來),其他狀況依舊。
現在每次開機進入 XP,Norton 總是報告偵測到 trojan.downloader
病毒,但它無法刪除,我也手動去刪那個在 C:\program Files\下的 WebSiteViewer 資料夾,但只要重開機就回來了。
請問有沒有辦法解決呢?
回答:
清除病毒的時候,除了工具軟體之外,也要留意一下每個步驟的順序,藏在電腦裡的病毒就沒辦法被防毒軟體清乾淨了。
基本上的大方向是:
關閉系統還原功能。
啟動在安全模式。
在安全模式下配合最新病毒定義掃毒。
在工具軟體方面:
病毒偵測與清除:如果你手邊並沒有任何的工具軟體,可以使用以下這些免費的防毒、spyware 軟體,來解決燃眉之急。
防毒軟體,AVG Anti-Virus Free Edition 下載網址:http://free.grisoft.com/doc/1
安裝後,記得 update 到最新的病毒定義,然後再於安全模式下進行清毒工作。
Spyware 清除:市面上防堵 Spyware 的軟體極多,不少的防毒軟體也有 Spyware
偵測清除的功能,Microsoft 最近新推出 spyware 清除軟體,目前雖為 Beta 1 版(測試版),但因為是免費,同時也可以還原 IE 首頁、IE 搜尋頁等等,仍是
可拿來應急的工具軟體。(註一)
Microsoft Windows AntiSpyware (Beta) 可在微軟的下載中心取得:http://download.microsoft.com
Microsoft Windows AntiSpyware
安裝完成後與防毒軟體一樣,都會常駐在系統列,同時也必需下載最新的 spyware 定義才能有效防堵最新的木馬病毒或
spyware。
步驟:
以上工具軟體都準備好之後(註二),則:
- 執行 AVG Free Edition 做全系統掃描,AVG 會自動刪除發現的 trojan 病毒與
spyware。
- AVG 只能刪除病毒程式,沒有辦法把 WebSiteViewer
的資料夾與圖示刪除,所以要手動刪除。(這些殘留已沒有威脅,手動刪除只是為了清除垃圾與美觀而已)
把桌面的 Free Pics 圖示刪除。
把 C:\Program Files\ 下的WebSiteViewer資料夾整個刪除。
- 由於 WebSiteViewer 會修改 「HOSTS」這個檔案,所以要把 hosts 檔還原,方法很容易:
開始 >> 搜尋 >> 所有檔案和資料夾 >> 檔名輸入
hosts,按進階,確認有勾:搜尋系統、隱藏檔、子資料夾,按搜尋。
找到後(應在 windows\system32 \drivers\etc下),在hosts上
double-click,選取開啟的應用程式為 notepad,來編輯 hosts 檔。
上半有 # 的段落都不用管它,看下面沒有 # 開頭的那些行,只需保留第一個 127.0.0.1 localhost
的那一行,其下方所有行都刪除。編輯完後存檔。
- 再以 Microsoft Windows AntiSpyware 做一次掃描。
- 重新開機於正常模式下測試,檢查 WebSiteViewer 是否還會出現。
- 病毒清除後,在重開機時,可能會出現找不到 C:\Winnt\System32\Kernels32.exe
的訊息,是正常的因為 Kernels32.exe 是病毒,被防毒軟體殺掉了
,但登錄檔裡還殘留有指令,叫電腦去跑它,所以才會出現找不到檔案的訊息。(註五)
要清除這個錯誤訊息的方法則:
開始 >> 執行,輸入 regedit 按確定,到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
在 Winlogon 裡找到 Shell 這項,在 Shell 上 double-click,資料內容應該只有
Explorer.exe,若 Explorer.exe 後還有接上其他字串,則刪除那些多餘的字,Shell 正確值為
Explorer.exe。
- 開啟 IE,到工具 >> 網際網路選項,首頁網址改回你慣用的網站網址。
若能恢復正常,最後還是要提醒你,不要不理會或關閉 XP 的自動更新。
註一:
Microsoft Windows AntiSpyware 目前還是測試版,有使用期限,beta
1測試到期日是2005/7/31,也就是最晚在 7/31 之前,應會有接續的 beta 2 版的出現,beta
1到期後請自行升級至最新的版本。
有關於 Microsoft Windows AntiSpyware 的最新消息,請參閱微軟 Windows
AntiSpyware 專屬網站:
http://www.microsoft.com/athome/security/spyware/
software/default.mspx
註二:
如果你的IE已經無法開啟任何網站、也沒有安裝任何的防毒軟體(或早已過期),只好尋求其他人的幫助,利用正常的電腦下載
AVG、Microsoft AntiSpyware(或其他你需要的工具)燒錄在光片上,再拿到你的電腦上安裝。
註三:
詳細請見:0020 - 如何停用 Windows XP 的系統還原功能
註四:
開機時按 F8 不放,在 XP(2000/98/95 亦同)
啟動時就會出現開機選單,選擇「安全模式」(safe mode)。(請選則不含網路功能的安全模式)
在開啟電源時就按著 F8,電腦可能會發出嗶嗶聲,但並不影響選單的出現。或者,可以在 BIOS 檢查完記憶體之後再按
F8。若等出現啟動 Windows 的畫面再按 F8 就太晚了,選單就不會出現。
安全模式因為只載入基本的驅動程式與服務,所以畫面解析度為 640x480、16色模式,也無法使用網路功能。
註五:
這訊息並不會有危險與傷害,因為病毒程式已刪除,即使在登錄檔中還有指令,也沒有作用。若不嫌礙眼,當然也可以不去管他。
相關文章:
0020 - 如何停用 Windows XP 的系統還原功能
