如何辨識MSN病毒/Foto病毒/nvsvc32.exe病毒/解毒移除的方法(會在臉書Facebook、Skype、Yahoo即時通、MSN傳播病毒連結) 文/灰色金盞花
小提醒:2010/10/31 於文末補充一個專解MSN foto病毒的解毒程式。
最近這個MSN的Foto病毒很常出現,金盞花的朋友也中毒了,畫面就像這樣。
會出現 is this your foto ?後面連接一個臉書Facebook的網址+信箱
這跟一般出現的MSN病毒差不多,不過這次會透過Yahoo即時通、Skype、臉書Facebook散佈病毒連結,更令人防不勝防。
以往這種MSN、即時通病毒只會在軟體上互相傳播病毒連結,現在連臉書Facebook和Skype都會出現了。
原因應該是最新的MSN2011和Skype5.0整合了臉書Facebook的功能,讓病毒可以藉由臉書Facebook傳播病毒。
臉書Facebook的人數眾多,交互感染特別容易,所以下回看見臉書Facebook出現的連結,不要隨便點。
建議要打開MSN或Skype的臉書Facebook功能,最好設定嚴謹一點,除了減少中毒後傳播,對隱私權也有幫助。
【中毒特徵】
會在MSN、Yahoo即時通、Skype或臉書Facebook上傳遞這個訊息
is this your foto ?後面連接一個臉書Facebook的網址+信箱
如圖
【辨識方法】
這個病毒偽裝成一個 nvsvc32.exe的檔案,而這檔案是很普遍的顯示卡驅動程式的名稱nvsvc32.exe一模一樣,只是存放位置不同,如果你的顯示卡使用nvidia這個牌子,就會有nvsvc32.exe這個檔案。
市面上顯示卡使用的晶片通常都是nvidia和ATI兩家出產的。所以有相當高的機率電腦裡面會有這個檔案,這是正常現象。
病毒檔的名稱 nvsvc32.exe和驅動程式的名稱一模一樣,讓一般人分辨不出來。
金盞花提供一個小小的辨識區分方法。
首先在桌面右鍵,選擇內容,看看顯示卡是哪一家公司的晶片,若是ATI就不可能有nvsvc32.exe這個檔案,只有使用nvidia這家晶片才會有nvsvc32.exe這個檔案。
再來按下 Ctrl+Alt+Del 叫出 工作管理員,並切換到『處理程序』頁籤。
當使用ATI晶片的網友,出現這個檔案,那就可能是病毒,若是使用nvidia的網友,則依照下面的方式來辨識。
一.Windows XP系統
這個檔案正常存在於 C:\Windows\system32\
但病毒會偽裝存放在 C:\Windows\ ,或者其它地方。
在工作管理員裡面可能會出現,同時有兩個nvsvc32.exe檔案執行。在工作管理員裡面檢查路徑,若不是在C:\Windows\system32\就是假的病毒檔。
二.Windows 7/Vista 系統
在Windows 7/Vista裡面安裝nvidia顯示卡是沒有nvsvc32.exe這個檔案的,而是叫做 nvvsvc.exe。(金盞花特地到nvidia官網下載win7版的驅動程式回來安裝,是沒有nvsvc32.exe這個檔案的,若有誤請指正)
一樣放在C:\Windows\system32\這個資料夾裡頭。
所以當系統為Windows 7卻出現nvsvc32.exe這個檔案,那應該就是病毒了。
下圖為Win7版的驅動程式,名稱為nvvsvc.exe。
【解毒方法】
解毒方法就是刪除它。
一.首先 Ctrl+Alt+Del 叫出 工作管理員,分辨出哪一個是病毒後,使用工作管理員關閉這個檔案執行。否則執行中的檔案無法被刪除。
二.使用Windows的搜尋功能,搜尋nvsvc32.exe這個檔案名稱。由於病毒會偽裝存在不同位置,所以只要不是在C:\Windows\system32\就右鍵刪除掉。
搜尋功能在『開始』裡面可以找到。
下圖為搜尋後的檔案,只有如圖在C:\Windows\system32\才是真正的驅動程式,其餘的就是假冒的病毒檔。
若還是無法解毒,也可以參考這位網友的文章 http://yuan817.blogspot.com/2010/09/pofoto.html
也有可能病毒已經變種,偽裝成其它檔案名稱。
總之要小心別輕易亂點來路不明的連結,甚至連親朋好友傳來的連結也要小心防範,畢竟在臉書Facebook上的都是好朋友,難免會一時大意。
2010/10/31補充一個專解MSN foto病毒的解毒程式
延伸閱讀:【免費防毒軟體】專解MSN foto病毒,臉書Facebook上的foto病毒連結/木馬清除大師MSN病毒foto解毒程式8.0繁體版
覺得『非設計部落』文章不錯,請動動滑鼠點一下『讚』喔!
【非氏不可】各班講義/開班資訊/行銷托管服務 (6)
現在msn 連正常傳個分享網址都會被對方當病毒 版主回覆:(10/19/2010 11:56:25 PM) 現在看到傳網址,都超小心的,沒經過確認都不敢點。。。 嚇死人了,哈哈。 你的部落格很有趣。讚
謝謝你提供使用NVIDIA顯示卡的人辨認的方法,我已經在我的部落格文章把你這篇的連結補充進去了!!我覺得你真的寫得很棒、很完整(比我更完整......哈哈)!!! 版主回覆:(10/19/2010 11:57:14 PM) 你寫的比較詳細啦,你太謙虛了。 我這兒訴求的對象是對電腦比較不熟的人,所以通常都盡量簡化,把簡單弄的更簡單。。(不過這好困難。。哈
請問我找裝置管理員→顯示卡 出現Mobile Intel(R) 945 Express Chipset Family這個,然後我用電腦搜尋到NVSVC32.EXE-2C59DD6B.pf這個檔案在C:\WINDOWS\Prefetch,我因該刪掉嗎??很著急 版主回覆:(10/19/2010 11:58:46 PM) 應該可以刪掉,有可能是病毒。(雖然不太確定,不敢完全確認,但你使用的不是NVSVC32,所以刪除後應該無大礙
我已經試過都顯示沒有發現病毒呀!但我每一次開機時,我的windows defender警告有垃圾軟體Backdoor:win32/Ircbot.gen!M,等級為嚴重及會損害電腦或個人資料,我可怎樣做才可以清除呢? 版主回覆:(03/08/2011 12:32:54 PM) 安裝這套試試看。 http://www.pctools.com/zh/spyware-doctor/
我刪不掉 他說我要提供系統管理員權限 我不知道該怎麼辦 版主回覆:(03/08/2011 12:23:01 PM) ctrl+alt+del 打開工作管理員之後強制關掉該程式運作,就能刪除。
太實用了!!感激不盡 版主回覆:(03/08/2011 12:09:41 PM) 希望能幫到你︿︿
請問nvsvc32中hkcu是假的程式還是hklm是假的程式? 版主回覆:(03/08/2011 12:08:37 PM) 很抱歉,因為我沒做過測試,無法說明。 不過光看名稱是不準的,因為名稱都能任意修改,建議先安裝防毒軟體。。
今天看到系統錯誤才知道原來是在這裡 感謝大大的分享 文章也請讓在下分享出去 來源網址也會註明 敬上萬分感謝 版主回覆:(03/08/2011 12:07:49 PM) 希望能幫上忙。。
獲益良多 感謝分享 版主回覆:(03/08/2011 11:59:02 AM) 不客氣^^