阿德觀點

上次已經介紹過如何用 AVG Anti-Spyware 來掃描一些木馬程式或間諜軟體了, 這次來補充介紹一下 Analysis (分析) 功能.

本 Analysis 功能可以幫您瞭解您電腦中的一些狀況, 如果您常覺得電腦愈來愈慢, 或最近老是怪怪的, 那您一定要繼續看下去.

進入 Analysis 中所看到的第一個頁籤是 "Processes", 就是看您現在電腦中有那些程序在執行中用的. 您可以在此把不明的程式 "Terminate"(終止)掉. 不過, AVG Anti-Spyware 中 Processes 功能比起上次介紹的 "Process Explorer for Windows" 功能似乎陽春了點, 所以在這我就不多做說明了!

"Connections" 頁籤是用來顯示電腦連線狀況的, 您可以從此頁籤看到您電腦中現在有那些程式有使用到連線的功能... 這一堆程式看得 "霧煞煞" 吧! 沒關係, 勾選一下下方的 "Hide local Connections", 它會把本機內對自己的連線先隱藏起來, 只顯示出對外的連線情況, 讓你比較清楚, 有那些程式有在進行對外的連線, 那您就可以簡單的判斷, 是不是有不明的程式正在偷偷傳送資料囉.

勾選 Hide local Connections 之後, 我故意讓幾個程式對外連線, 看起來的狀態大概會像上圖那樣, 您可以去留意是否有不明程式對外連線.

對了, 如果有用 MSN 之類的即時通軟體的話, 這畫面上就會出現該軟體的連線, 但, 該連線不見得會出現軟體名稱, 您如果想知道那個是該軟體連線的話, 您只要把該軟體退出, 再執行, 觀察一下這邊的變化, 便知道囉.

"Autostart" 這個頁籤可有用囉!

不知您知不知道, 當您在電腦中安裝一些軟體時, 有些軟體會很 "雞婆" 的幫您把該軟體 "可能" 會用到的一些 "小程式" 安裝到您電腦的 "自動啟動" 裡面, 這個 "自動啟動" 就是當您電腦開機後, 載入完一些作業系統必要的程式之後, 它還會去載入放在 "自動啟動" 紀錄區內的這些 "小程式".

這樣會有什麼問題?

1.當您 "自動啟動" 內的程式愈來愈多時, 您開機的時間就會愈來愈長, 然後等開機等到想砸電腦.

2.這些小程式依其功能的不同, 會佔去大小不一的記憶體, 影響您電腦的運作效能, 程式愈來愈多時, 電腦也會愈來愈慢.

3.木馬程式或病毒程式很喜歡躲在這裡... 就算電腦中病毒已經清完了, 但沒清到躲在這區中的病毒程式的話, 下次一開機, 立刻就會再中毒.

所以, 學會調整這邊的內容, 就能讓您的電腦跑得比較 "順暢" 一點點! 不過, 說真的, 這是要點經驗啦! 我個人分享以下的調整判斷經驗給您參考.

1.瞭解 "Autostart" 的看法.

每一行 "通常" 代表一個程式, "Appliction" 是程式的名稱, 後面的 "Path" 欄位會指到該程式在電腦上的位置, 您可以藉由此位置, 簡單來判斷一下該程式 "大概" 是屬於那個軟體的.

比如說, 上圖中的 ccApp 和 vptray 您可以看出該軟體的 Path 都是跟 Symantec 有關, 就知道它是防毒軟體裝的, 那就千萬不能把它拿掉.

2.判斷程式在一開機就載入的必要性.

同樣以上圖為例, 防毒軟體當然是一開機就必要執行的, 不要把它拿掉.

但像, NeroFilterCheck (Nero 軟體燒錄軟體裝的), SunJavaUpdateSched(SunJava 定期更新), RemoteControl (PowerDVD 播放軟體裝的), KKBOX... 等, 您可能就可以依您的需求決定要不要在一開機就載入, 像我, 就會認為這些東西不需要在一開機就載入, 以這個 KKBox 來說, 它會在你桌面的右下角擺一個小圖, 不時會傳來一些 KKBox 的新聞, 我就認為我不必要, 所以, 我就可以點選該程式, 然後按下方的 "Delete selected item(s)" 來把它從 "Autostart" 中拿掉. 那麼下次開機它就不會再載入了.

3.不知道它是什麼, 不知道該不該移除? 請先查一下網路.

如果不是因為您的電腦愈跑愈慢或您懷疑電腦中病毒或木馬了, 我其實不是很建議您來 "隨意" 調整 "Autostart", 但, 如果您懷疑在 "Autostart" 中有某隻程式可能是病毒, 某隻程式怪怪的, 那該如何確定它有沒有問題呢? 上網查查吧!

比如說 "ctfmon.exe 網路上就可以查出它是什麼.", 到底要不要移掉呢? 見仁見智, 我是覺得不要理它啦!

當然, 若您有查出某程式可能是有問題的, 那當然是要移除囉. 不過, 如果某程式是病毒或木馬程式, 您要想到, 該程式現在應該已經被執行中了, 最好要配合 Process Explorer for Windows 看能否先 kill 已經在執行中的該程式(如果殺不掉, 可能要進安全模式處理), 先 kill 已經在執行中的該程式後, 再把它從 "Autostart" 中移除. 因為, 如果不先殺掉該執行中程式的話, 有可能您把它從 "Autostart" 中移除了, 稍後它又給您裝回去, 所以, 您下次開機它又跑回來了.

4.靠經驗.

這... 就看您跟電腦熟不熟了. 這無法言傳, 我舉個例子.

被紅線框住的那三隻程式其實是有問題的, 它是某木馬程式的偽裝.

第一個 "zSecurity Service" (szsvc.exe)寫得很專業, 看起來好像是某種安全性的程式, 我知道它有問題是因為我知道我沒裝過這種軟體.

第二個 "Norton Antiviral Scanner" (navscnr.exe), 名字怪, Anti"viral" 怪, nav"scnr".exe, 安裝的地方也怪, 正常來說, 如果是 Norton 的產品, 通常不會裝在 "system32" 下. 網路上也查得到 navscnr.exe 是有問題的程式.

第三個 "Java Runtime Environment" (jbuild.exe), 我知道 jbuild.exe, 但它裝在 "system32" 就怪啦! 而且它寫 "Java Runtime" 也怪, 更怪的是, 沒理由要在一開機就執行 jbuild. 這隻程式, 如果您查網路的話, 您可能會以為它是正常的程式, 因為很多人有在用 jbuild.exe, 會查出一堆正常的網頁.

以上 "Autostart" 的關查經驗, 提供您參考.

"Browser Plugins" 是查看您的瀏覽器程式( IE )中外掛了那些工具列或程式用的. 這個部份就比較容易檢查問題了, 因為它會以不同顏色的小圖示來表示出該程式是否有問題.

綠色打勾的小圖代表正常.

如果向上圖出現黃色問號, 就要看看它是什麼程式了, 您可以點選它, 畫面右側會出現該程式的細節, 您可以藉由這些資訊來判斷該程式是否有問題.

如果在 "Name" 的欄位直接出現的是 "Error" 像上圖的 "ljjhfde.dll", 不必懷疑, 直接按右側的 "Remove Objecr(s)" 殺了它吧! 不過, 其他有寫出明確 Name 的 Plugins 就要上網路稍查一下, 看您會不會用到來決定它的去留囉.

在處理 "Browser Plugins" 要注意一件事, 您的瀏覽器程式( IE )要先關掉, 不要在執行狀態中, Remove Objecr(s) 才能免得移掉的東西又被加回來. 還有, 就是執行 Remove Objecr(s) 通常會要求要重新開機, 在您移完要移的所有要移的 Objecr(s) 後, 請照指示重開, Remove Objecr(s) 才會成功.

老實說, 我到現在還搞不清楚 Windows LSP 真正的作用是什麼, 反正和電腦上網有關啦!

如果要判斷這裡有沒有問題, 也蠻簡單! 只要看到有黃色的圖示出現, 或您有勾選 "Hide Windows LSP" 時, 列示框中還有程式存在時, 就是有問題的啦!

那如果有問題, 該如何處理呢? 請見 木馬, 木馬不要來 一文, 使用該文提到的 http://www.pchell.com/downloads/WinsockXPFix.exe 來處理吧.

以上寫了一堆, 僅供您參考.

相關閱讀:

從未裝過 AVG Anti-Spyware? 請見: AVG Anti-Spyware-頗負盛名的木馬查殺軟體

本文介紹的內容, 也可以用: SpyBot Search & Destroy 安裝篇 中的 "進階模式", 比 AVG Anti-Spyware 管更多, 更複雜喔.