鉅碩科技-電腦快修中心

廣告程式非常多，有些單純、也有就是病毒。

當然，最重要的，還是疏忽造成的，就是只顧按「確定」，根本不看將要裝進來的是什麼東西，結果就是廣告進來了、間諜軟體進來了，造成損失。

AD-AWARE 是一套專業的廣告元件移除軟體，試試看吧， AD-AWARE 網站：http://www.lavasoftusa.com/chinese/software/adaware/

但他只會移除廣告，不能移除病毒，所以，在今天這個寬頻發達的環境，必須具備以下基本工具軟體：

• 防毒軟體
  
• 廣告（Spyware）偵測移除軟體
  
• 防火牆
  
• Windows Update：Windows 的洞實在太多了，我想可以跟蓮蓬頭比美了吧...

問題：

電腦重新開機之後，發現會無緣無故的不斷蹦出廣告，IE 的首頁也被改成廣告頁，在我的開始功能表跟桌面中都還會加上它的 URL，怎麼刪都不管用，重新開機又會跑出來，怎麼辦呢？

請注意：

本例為病毒，另外，若僅視窗標題列被加入廣告字串，也亦與病毒無關，關於除去標題文字的方法，請參考：0077-IE 標題列與首頁被設成廣告頁該如何清除？

還是要提醒：

在套用解決方法的時候，請分辨你的問題環境，例如甲問題與乙問題症狀很類似，然而解決方法卻完全不同，不可以拿甲方法用在乙問題上。

用錯方法，輕者問題依然無法解決。重者，原本正常的部分也可能被改壞了，所以在套用方法之前，務必讀清楚問題中的狀況是不是與你的狀況相符。

回答：

首頁被竄改的問題越來越複雜，有些是病毒，利用IE漏洞安裝，也有些是廣告程式，是使用者看到畫面上出現下載安裝的對話框，就按是，所以我常強調，一定要看清楚畫面上對話框的內容，不要急著看網頁，就猛按「是」或「YES」，等出了問題，又一直抱怨。

本例是病毒的一型，它是一種特洛伊木馬程式（背後偷偷搞鬼的程式），經由惡意的 activex 或 script 程式，透過 IE 的漏洞，達到暗地裡植入程式修改你電腦設定、任意在你的電腦上執行的目的。

目前這類亂改首頁的病毒，它外表上，亂改首頁跟拼命蹦廣告，背後是否有在蒐集資料我並不知道。

這個病毒的感染途徑有兩種，一是透過郵件，一是透過網站，網站上或自動下傳安裝程式到你的電腦裡（假如仍然使用沒有修正過的IE）

如何預防呢？

• 
  

  安裝防毒軟體解除這種病毒 ，如果已經安裝防毒軟體，只要是新的病毒定義都可以偵測到這個亂改首頁的病毒，下載最新的病毒定義掃描電腦。

  
  

萬一手邊沒有防毒軟體該怎麼辦？只好手動移除，手動移除的方法，請見： 註一。

不要用「試用版」，因為有些廠商提供的試用版沒有辦法更新病毒定義，防毒軟體就認不得這種新的惡意的攻擊程式，當然，也就掃不出病毒了。

我測試過，Norton Antivirus 2002 （或 2001）搭配 2001 年12月19日之後的病毒定義，都可以順利攔截、清除這個亂改首頁的病毒。（但防毒軟體並不能清除開始功能表中的廣告 URL，這些自己刪掉就行了）

亡羊補牢：

雖然防毒軟體很輕易的可以解決這個病毒，但是，為了防患未然，下載安裝必要的 IE 安全性修正程式還是必須的步驟，以免以後再讓這類病毒有可趁之機。

去哪找修正程式？有兩個地方都可以下載安全性修正程式（我這邊只提安全性修正程式，與系統功能有關的修正程式這邊不提）：

• 
  

  一是利用  Windows Update （windowsupdate.mucrosoft.com）網站， 進入它的「重大更新」單元，檢查是否有重要的、需要修補的程式，這也是最方便的路徑，最適合一般 user 使用。（註 二）

  
  

• 
  

  二是在 Microsoft Security Bulletin（英文站）上慢慢找自己所需的修補程式，較適合進階 user 或技術人員。

  
  

就本例而言，微軟有兩號修正程式是修補這個安全漏洞的：

Microsoft Security Bulletin：MS00-075
http://www.microsoft.com/technet/treeview/default.asp?
url=/TechNet/security/bulletin/ms00-075.asp

Microsoft Security Bulletin ：MS00-081
http://www.microsoft.com/technet/treeview/default.asp?
url=/TechNet/security/bulletin/ms00-081.asp

順便一提，如果你不知什麼原因無法使用 Windows Update 更新，或是想知道更多這些有關安全性的資訊，請前往Microsoft 的 Security Bulletin，裡面都是非常有用的資訊。>> Microsoft Security Bulletin Service

我發現很多然還是沒有經常上 Windows Update 網站 check 修正程式的習慣，另外，也發覺大家對於「功能性」方面的修正程式，倒是很樂意安裝，對於「安全性」方面的、這種在人類感覺上，好像是裝不裝都無所謂的修正程式（因為感覺不出來多了什麼功能），反而興趣缺缺，這種習慣不太好。

在過去，那個網際網路不發達的時代、不上網的時代，的確，security 方面的事情你不在意也沒什麼大不了，因為都是單機，外面進不來，你也出不去，反倒安全。但是在現在上網已經算是 PC 必備的一個功能之一，你的電腦就是網路上的一台機器，那你就必須要有網路安全的觀念。

IE 是網路軟體的一種，當然也會有所謂的漏洞（是軟體，就會有 bug），只是這個洞大、洞小、重不重要、有沒有被發覺而已。再加上「微軟」產品又是「駭客的最愛」，所以你一定要留意它網路產品在 security 這一方面的事情，避免成為無辜受害者。

「要怎麼注意呢？我怎麼知道哪裡有最新的安全性修正程式？」

最簡單、方便的方法，就是上 Windows Update 網站查看重大更新，尤其是關於「安全性」方面的更新，然而，這麼簡單、容易的步驟，很多人還是不做的，這就給了惡意的程式攻擊的機會。

註一：手動清除方法

我提供手動清除的方法，但是我不能保證絕對可以清除，因為病毒不是只有一個版本，提出手動清除只是應急，並給你一個解決問題時的思考方向。若清除後一切正常，務必儘快安裝防毒軟體並配合最新病毒定義掃毒， 以策安全。

注意：以下所提到的機碼或數值，不一定都可以在你的電腦中找到，因為如果你的某部分沒有被竄改，某些機碼或數值當然就不會有。

在做動作之前，務必確認你已經：

• 
  

  關閉所有 IE 視窗，若有廣告視窗無法關閉，請先拔掉網路線或斷線。

  
  

按「開始」>>到「執行」，輸入 regedit（按 enter），到：

• 
  

  HKEY_CURRENT_USER\Software\Microsoft\
  Internet Explorer\Main

  
  

在 Start Page 上按右鍵，選修改，原內容刪除，改輸入about:blank，按確定。（或是不輸入內容也行）

• 
  

  HKEY_CURRENT_USER\Software\Microsoft\
  Internet Explorer\Main

  
  

檢查 Windows Title 內的值是否為廣告字串，若是，則刪除整個 Windows Title

• 
  

  HKEY_LOCAL_MACHINE\Software\Microsoft\
  InternetExplorer\Main

  
  

檢查 Windows Title 內的值是否為廣告字串，若是，則刪除整個 Windows Title

• HKEY_CURRENT_USER\Software\Microsoft\
  Windows\CurrentVersion\
  Policies\WinOldApp

檢查右邊是否有一個數值為"NoRealMode"，若有，則刪除，或把 WinOldApp 整個刪掉（這是不需要的）

• 
  

  HKEY_CURRENT_USER\Software\Microsoft\
  Windows\CurrentVersion\
  Run

  
  

刪除 START PAGE，同時檢查是否其他也有可疑網廣告址的項目，在（預設）上按滑鼠右鍵選刪除。（"預設" 這裡的值應該出現的是"值尚未設定"）

• 
  

  HKEY_LOCAL_MACHINE\Software\Microsoft\
  Windows\
  CurrentVersion\Winlogon

  
  

刪除整個 Winlogon

• 
  

  HKEY_USERS\.DEFAULT\Software\Microsoft\
  Internet Explorer\Main

  
  

在 Start Page 上按右鍵，選修改，刪除原網址，改輸入about:blank，按確定。（或是刪除後不輸入內容也行）

• 
  

  HKEY_USERS\.DEFAULT\Software\Microsoft\
  CurrentVersion\Run

  
  

START PAGE整個刪除（或其他有可疑網廣告址的項目）。接著，在"（預設）"上按滑鼠右鍵選刪除。（"預設" 這裡的值應該出現的是"值尚未設定"）

再到：

• 
  

  HKEY_CURRENT_USER\Software\Policies\Microsoft

  
  

在 Internet Explorer 這個資料夾上按滑鼠右鍵選刪除（即整個 Internet Explorer 與其中包含的所有設定都刪除），以解決 Internet 選項變灰色，按鈕無法按的問題。

• 
  

  HKEY_Local_Machine\Software\Microsoft\Windows\
  CurrentVersion\Run

  
  

檢查是否有廣告網址，因病毒而異，有些廣告病毒並不會寫到這裡，若有則刪除該網址字串（新手請注意，不要誤把 Run 資料夾整個刪除）

關閉 regedit，此時不要打開 Internet Explorer，否則它又去連那個有毒網站，又會被修改，剛剛做的就白做了。

繼續：

按「開始」>>到「控制台」>>「網際網路選項」，在「一般」這頁，按「使用空白頁」。

再在 Temporary Internet files 按「刪除檔案」（勾刪除所有離線內容），按確定。再到「記錄（History）」按清除紀錄。

重新啟動電腦。至於桌面、開始功能表、快速啟動列裡面殘留的廣告 URL 項目，自己動手刪除就行了。

儘早安裝防毒軟體，以免再次被這類型惡意程式破壞。

另外，也推薦使用 SPYWARE 偵測軟體：AD-AWARE，這是非常著名、口碑很好的廣告軟體偵測工具，其實，廣告軟體就是所謂的 spyware，間諜軟體。

很多、應該說是幾乎，所謂廣告贊助軟體絕對會在客戶端值入元件，把客戶端的行為模式傳回廣告主機（網路廣告商），最為廣告託播、行銷的依據。

天下沒有白吃的午餐，一個會出現廣告的軟體，絕對後面有看不見的黑手，不要看到「免費」就安裝，除非他是真正的 freeware，所謂廣告軟體，只是 spyware 的另一種美麗名字而已。

AD-AWARE 網站：

http://www.lavasoftusa.com/software/adaware/

AD-AWARE 標準版免費，專業版要付費購買。

註二：

在 Windows Update 網站上，會不斷推出新的修正程式（即所謂的 Patch），隨時注意它網站公佈的重大更新，尤其是有關「安全性」方面的修正檔，務必下載更新，就可以降低被惡意程式攻擊的機率。

IE 6 已含這兩個修正，所以 IE 6 的 user 可以不必安裝 ms00-075 跟 081 這兩個修正程式。如果你是從 Microsoft Security Bulletin 上下載安裝，請注意適用版本，有些修正程式會因作業系統、語系的不同而不同，有些則無，請注意它網站上的說明。

若是透過 Windows Update，因為 Windows Update 會自動偵測你已經安裝的原件，所以會自動顯示適合你安裝的版本，因此最適用於一般程度的 user。