你在看我嗎?

不管這一次的AVG誤刪事件你是受害者或是只是一位旁觀者,甚至是躲在暗處偷笑的幸災樂禍者,高登告訴大家這不是第一次(之前就有好幾家包括AVG都出錯過),而且也不會是最後一次!如果你不好好了解一下為什麼會有這種錯誤?以及如何確認是不是誤刪?那下一次哀號的或許你也會有份!

這一次肯定就是AVG防毒的錯,我也不會幫他們護航,但是我用的是免費版所以沒有什權利求償,如果你用的是付費的版本那就看看AVG是不是有什麼善意的回應,如果一直都沒有的話就要採取一些行動吧!

為什麼會誤刪系統檔?

很多人的第一個疑問就是為什麼會有誤刪的事情發生?這就要從防毒程式是如何抓出病毒檔案的原理來說起:不管是哪一個防毒程式,都一定會用「特徵碼」來判別,這是一小段病毒程式碼,如果在檔案中掃描到相同的片斷的話,就會認為這個檔案就是受到這種病毒的感染。當然也有所謂「主動防護」的防毒程式不是很注重特徵碼,但是還是會用。

或許是病毒製造者的故意或是巧合,這一次的Downloader.Generic8.8RZC木馬病毒的特徵碼就正好出現在userenv.dll裡面,所以會有誤判的情形發生。但是病毒特徵碼出現在系統檔案裡面也不是第一次了,AVG這一次的錯是沒有將這個情況列入「白名單White List」(除外名單)中,就因為這樣一個疏忽才會有這麼多人受害。

您也是受害者嗎?

這一次的誤刪也不是每一台使用AVG防毒的都會中招,而是要以下的條件都符合了你才會開不了機:

  • 作業系統:Windows XP SP3繁體中文版。其他的版本都沒事,因為userenv.dll檔案都不同。
  • 開機時間:白天開機。病毒碼版本是2379才會出現誤報,等到晚上再開機已經更新成2380就逃過一劫。
  • 掃描動作:執行全機掃描或是系統設定的排程掃描。如果沒有這兩種掃描,只是會一直出現中毒警示,但是還是不會刪掉userenv.dll,這是因為這個檔案受到系統的保護沒有那麼容易刪除,要經過下一步個步驟之後才能清掉。
  • 系統重開機:一定要經過重開機的動作才有可能將userenv.dll刪除,這是因為防毒程式會設定一個一開機就執行的Script檔,所以你重開機症狀就出現了(無法開機)。

而這些條件高登在誤報事件一發生的時候告訴大家的解決方法漏掉了很重要的一項:「排程掃描」

因為AVG在安裝時內定中午12點執行每日的排程掃描,所以很多人是沒有作什麼刪除的動作,結果第二天電腦一樣開不起來,這件事高登在當天的下午就已經確認了,但是因為已經過了排程執行的時間要挽救已經來不及了,所以就沒有再告訴大家這一件事。

下一次再遇到怎麼辦?

一般人遇到這種情況也不會去懷疑防毒程式會不會出錯,而是一定都認為自己的電腦中毒了,但是請你再刪掉這些所謂的「中毒檔案」之前先確認以下的幾件事:

  • 中毒檔案的檔名及檔案位置,檔名你們一般可能不知道是不是系統檔,但是如果檔案位置是在c:\ c:\windows c:\windows\system32 裡面或是之下的目錄中的話,很有可能就是系統檔,在刪除之前請再次確認。
  • 如何確認呢?高登之前介紹過的virustotal.com就是一個很有用的工具,請將有問題的檔案上傳,看到底有多少隻防毒說它有毒,如果只有你用的這一隻那百分之百是誤報了。
  • 如果身邊的電腦都出現相同的病毒警示,那應該沒那麼巧每一台都中相同的毒。
  • 用中毒檔案的檔名上網搜尋一下,如果真的是毒應該可以找到相關的訊息,附帶一提的是如果你要找的是最新的事件的話,請你一定要用Google搜尋,因為Yahoo你大概要過一天之後才能找到相同的訊息。
  • 上網找人問一下。現在網路各種的管道這樣方便,請你開一下金口問一下大家有沒有相同的問題也是一個不錯的方法。像這一次我就是在第一時間就透過噗浪將這個誤報的訊息發佈出去,應該有不少人是從這些微網誌收到這個訊息的。

都是我害的?

介紹AVG Free免費防毒軟體的論壇或是部落格最少也有10個,但是AVG一出包除了我跟月光下的嘆息有發文提醒大家之外,好像都不關其他人的事?這種奇怪的現象背後究竟是什麼原因實在令人好奇!

而事實上大家可以看一下介紹AVG免費防毒的發文日期,我是最後一位發文介紹的人,而原因竟然是因為原來推薦的小紅傘已經開始在出錯了,而發的一篇小紅傘遜掉了還被大陸及台灣的知名論壇引用,裡面還有一堆充滿攻擊語氣的對話。

但是我要大聲的告訴各位:不管是小紅傘、AVG或是之前介紹過的Avast,我只是幫大家試用一下各家的免費防毒軟體,而且很忠實的把我自己的使用心得(包括外面幾百台客戶電腦的使用狀況)跟大家回報,信不信由你!反正我也沒從他們其中任中家得到什麼好處,會推薦純粹只是覺得不錯用,一年前不錯用現在覺得遜掉了是很正常的事,畢竟這是一個瞬息萬變的世界。

沒用過的我不會推薦

還有推薦軟體在我的心目中就像是美食推薦一樣,自己沒吃過的東西我是說不出來會有多好吃!所以只要是我推薦的一定是自己有用心的使用之後的心得,或許這樣的標準對現今許多的人是有一點高,但是這是自我的期許也不指望別人跟進,但是既然自己選擇要很嚴厲的批評Yahoo!奇摩、無名小站或是TWNIC等公司時,自己的腳步沒站穩怎能大聲的說出來?

所以也請大家針對文章的主題留言,不要我在講Ubuntu Live CD你跟我扯到防火牆這風馬牛不相關的議題,刪也不是不刪又會讓其他人覺我跳Tone,請大家配合好嗎?謝謝大家!