AVG防毒誤報事件分析及防範之道

你在看我嗎?

不管這一次的AVG誤刪事件你是受害者或是只是一位旁觀者,甚至是躲在暗處偷笑的幸災樂禍者,高登告訴大家這不是第一次(之前就有好幾家包括AVG都出錯過),而且也不會是最後一次!如果你不好好了解一下為什麼會有這種錯誤?以及如何確認是不是誤刪?那下一次哀號的或許你也會有份!

這一次肯定就是AVG防毒的錯,我也不會幫他們護航,但是我用的是免費版所以沒有什權利求償,如果你用的是付費的版本那就看看AVG是不是有什麼善意的回應,如果一直都沒有的話就要採取一些行動吧!

為什麼會誤刪系統檔?

很多人的第一個疑問就是為什麼會有誤刪的事情發生?這就要從防毒程式是如何抓出病毒檔案的原理來說起:不管是哪一個防毒程式,都一定會用「特徵碼」來判別,這是一小段病毒程式碼,如果在檔案中掃描到相同的片斷的話,就會認為這個檔案就是受到這種病毒的感染。當然也有所謂「主動防護」的防毒程式不是很注重特徵碼,但是還是會用。

或許是病毒製造者的故意或是巧合,這一次的Downloader.Generic8.8RZC木馬病毒的特徵碼就正好出現在userenv.dll裡面,所以會有誤判的情形發生。但是病毒特徵碼出現在系統檔案裡面也不是第一次了,AVG這一次的錯是沒有將這個情況列入「白名單White List」(除外名單)中,就因為這樣一個疏忽才會有這麼多人受害。

您也是受害者嗎?

這一次的誤刪也不是每一台使用AVG防毒的都會中招,而是要以下的條件都符合了你才會開不了機:

  • 作業系統:Windows XP SP3繁體中文版。其他的版本都沒事,因為userenv.dll檔案都不同。
  • 開機時間:白天開機。病毒碼版本是2379才會出現誤報,等到晚上再開機已經更新成2380就逃過一劫。
  • 掃描動作:執行全機掃描或是系統設定的排程掃描。如果沒有這兩種掃描,只是會一直出現中毒警示,但是還是不會刪掉userenv.dll,這是因為這個檔案受到系統的保護沒有那麼容易刪除,要經過下一步個步驟之後才能清掉。
  • 系統重開機:一定要經過重開機的動作才有可能將userenv.dll刪除,這是因為防毒程式會設定一個一開機就執行的Script檔,所以你重開機症狀就出現了(無法開機)。

而這些條件高登在誤報事件一發生的時候告訴大家的解決方法漏掉了很重要的一項:「排程掃描」

因為AVG在安裝時內定中午12點執行每日的排程掃描,所以很多人是沒有作什麼刪除的動作,結果第二天電腦一樣開不起來,這件事高登在當天的下午就已經確認了,但是因為已經過了排程執行的時間要挽救已經來不及了,所以就沒有再告訴大家這一件事。

下一次再遇到怎麼辦?

一般人遇到這種情況也不會去懷疑防毒程式會不會出錯,而是一定都認為自己的電腦中毒了,但是請你再刪掉這些所謂的「中毒檔案」之前先確認以下的幾件事:

  • 中毒檔案的檔名及檔案位置,檔名你們一般可能不知道是不是系統檔,但是如果檔案位置是在c:\ c:\windows c:\windows\system32 裡面或是之下的目錄中的話,很有可能就是系統檔,在刪除之前請再次確認。
  • 如何確認呢?高登之前介紹過的virustotal.com就是一個很有用的工具,請將有問題的檔案上傳,看到底有多少隻防毒說它有毒,如果只有你用的這一隻那百分之百是誤報了。
  • 如果身邊的電腦都出現相同的病毒警示,那應該沒那麼巧每一台都中相同的毒。
  • 用中毒檔案的檔名上網搜尋一下,如果真的是毒應該可以找到相關的訊息,附帶一提的是如果你要找的是最新的事件的話,請你一定要用Google搜尋,因為Yahoo你大概要過一天之後才能找到相同的訊息。
  • 上網找人問一下。現在網路各種的管道這樣方便,請你開一下金口問一下大家有沒有相同的問題也是一個不錯的方法。像這一次我就是在第一時間就透過噗浪將這個誤報的訊息發佈出去,應該有不少人是從這些微網誌收到這個訊息的。

都是我害的?

介紹AVG Free免費防毒軟體的論壇或是部落格最少也有10個,但是AVG一出包除了我跟月光下的嘆息有發文提醒大家之外,好像都不關其他人的事?這種奇怪的現象背後究竟是什麼原因實在令人好奇!

而事實上大家可以看一下介紹AVG免費防毒的發文日期,我是最後一位發文介紹的人,而原因竟然是因為原來推薦的小紅傘已經開始在出錯了,而發的一篇小紅傘遜掉了還被大陸及台灣的知名論壇引用,裡面還有一堆充滿攻擊語氣的對話。

但是我要大聲的告訴各位:不管是小紅傘、AVG或是之前介紹過的Avast,我只是幫大家試用一下各家的免費防毒軟體,而且很忠實的把我自己的使用心得(包括外面幾百台客戶電腦的使用狀況)跟大家回報,信不信由你!反正我也沒從他們其中任中家得到什麼好處,會推薦純粹只是覺得不錯用,一年前不錯用現在覺得遜掉了是很正常的事,畢竟這是一個瞬息萬變的世界。

沒用過的我不會推薦

還有推薦軟體在我的心目中就像是美食推薦一樣,自己沒吃過的東西我是說不出來會有多好吃!所以只要是我推薦的一定是自己有用心的使用之後的心得,或許這樣的標準對現今許多的人是有一點高,但是這是自我的期許也不指望別人跟進,但是既然自己選擇要很嚴厲的批評Yahoo!奇摩、無名小站或是TWNIC等公司時,自己的腳步沒站穩怎能大聲的說出來?

所以也請大家針對文章的主題留言,不要我在講Ubuntu Live CD你跟我扯到防火牆這風馬牛不相關的議題,刪也不是不刪又會讓其他人覺我跳Tone,請大家配合好嗎?謝謝大家!

53 則留言

  1. 其實真的很巧..因為你的部落格,我會不定時觀看. 在出問題的前一天,我有個客戶他的電腦中毒了(防毒軟體就是用AVAST)

    因為客戶的英文不好,所以我沒有叫他下載小紅傘,而是下載 AVG
    (因為我有下載,試用,覺得還不錯),結果他的電腦在隔天早上10點多,重開機後就掛了

    之後,他拿到我這裏,我幫他把 userenv.dll 還原後,就一切正常
    但後來,我還是叫他用 AVG ,因為我是覺得這套應該比 Avast 好

    就如你所說,其它防毒軟體也曾發生過類似情況,且這次狀況的解決方法也很簡單,客戶的電腦其它資料並沒有任何影響

    要使用免費軟體本來就要自付風險,那些下載的人也沒有付任何費用給你,所以就別在意了

    另外,我覺得你的文章有些不錯,是否能借引用到我的部落格呢?如不行,也沒關係,我還是大力推薦你

  2. 老爺,上次「要你負責」的留言,純屬玩笑,可別當真喔!!
    我也是追你的噗浪才知道那是誤報,
    如果沒有你即時將訊息發佈出來,我可能也中標了~~謝謝你喔!!

  3. 誤殺其實在所難免,各大知名商業防毒軟體都發生過好幾次
    連誤殺系統檔也不是什麼稀奇的事情
    以下隨便列幾個近期發生的嚴重誤殺事件新聞

    2008-12-18
    卡巴斯基再次誤報userinit.exe,刪除後無法進入系統
    http://www.kafan.cn/shadu/xueyuan/200812183214_zt.htm

    2009-03-09
    ESET NOD32 誤殺Windows系統文件Dllhost.exe和msdtc.exe
    http://hi.baidu.com/nilejiang/blog/item/1cf365b524f602c636d3ca89.html

    2009-07-11
    McAfee誤殺Windows系統文件 導致系統藍屏
    http://www.sharuan.net/html/mcafee/2009/0711/753.html

    其實從另一層意義來看
    能把系統檔砍了才能顯示該防毒軟體的強悍
    很多病毒和木馬是會偽裝成系統檔讓你砍不掉他的

  4. 高登老師你好:
    小弟之前有發問過在MSN上如何設定AVG掃描除栓檔案的問題(當初沒抄下來,剛剛找已經找不到了@@"),因為現在我矢的續傳軟體是Orbit,它上面設定下載後用防毒軟體掃描有分兩欄第一欄是程式,第二欄是參數,請問要如何設定AVG呢?煩請指教。

  5. 其實誤判的不只有這件事情而已(很多知名軟體歷年來都多少有過)
    只是說可能時機上比較接近
    才會導致有這樣的情況發生...@@

    PS:其實我用了之後,也覺得他是不錯的好物,支持啦XD

  6. 這就是很典型的 有功無賞, 打破要賠
    又沒收大家什麼好處,只是介紹免費的防毒軟體
    中毒了就要來怪東怪西,
    平常看到好的文章的就很高興,說學到一招
    現在出問題,不也學到一個經驗嗎?

    除非AVG是高登所寫的程式?怪高登才有話說
    不然網路上任何軟體
    都會有風險,誰介紹的都一樣

    實在不知道,這件事可以鬧這麼久?
    通常中毒了,不能開機..等等問題
    就開始找方法處理就好了,不會就找朋友幫忙

    然後就決定二件事:
    1以後要不要再用AVG
    2以後要不要聽高登的建議

  7. 想請問一下高登大大

    最近我很多朋友 跟我都發現avg掃到foxy有木馬

    然後我刪掉以後 從下載點重下載 還是發現有特洛伊木馬

    請問一下 這會又是誤判嗎 還是網站被駭客入侵 被植入木馬

  8. 其實人非聖賢
    孰能無過
    高登大也不是萬能的
    那些怪高登大的
    都是很愛推卸,自己都不負責

    以後還是希望高登大能多提供您的試用心得
    網路上人不可能做到完全客觀
    我就是很喜歡看到您的主觀想法
    有主觀才有獨有創見跟想法

    客觀的東西我看新聞報導or雜誌就夠了

    第一次留言
    前天有來造訪,無意中搜尋到這裡

    • 有主觀才有獨有創見跟想法

      嗯!這句話講的很好

      其實我比較喜歡高登的原則,自己用過了才推薦
      勝過網路上一堆人云亦云的說法

      如果沒有高登的建議,也還是要自己try
      結果可以還是一樣,這有什麼好怪的!!

  9. 所以

    卡巴斯基、ESET NOD32、McAfee、賽門鐵克...等知名防毒軟體都有過誤判

    請問小紅傘有份嗎??

    因為個人還是很偏愛小紅傘@@

    掃毒能力相信不會是一直停滯不前的 有些病毒碼這次沒有 下次更新再補上~

    雖然有些許的解毒能力不足 不過搭上EFix一起用到也還滿順心

    況且雖然是英文版的 但只要設定 設定好後

    平常也只要 掃描 或是 Guard跳出來時那幾個英文單字

    別無再些什麼艱深的英文 因為都固定那幾個字 要不就把那幾個字先查好

    不過我許多朋友都覺得小紅傘很糟糕 我簡單的問一下 可理由卻很好笑

    他們完全沒碰設定 完全是一安裝好後的那些預設值= =

    如果是這種狀態的小紅傘當然是很糟糕啦

    就像買了個糖果 包裝紙都沒拆開 就整個吞了 卻還反罵這糖果難吃 爛= =

    真令我匪夷所思...

    • 小紅傘是出了名的敏感,所以誤判一定是有的,尤其是小紅傘都會將許多註冊機/算號器列為病毒,而事實上我一直在用一些算號器也沒出過什麼問題,不知道小紅傘在緊張什麼?
      唯一慶幸的是還沒有遇到小紅傘誤判而且誤殺系統檔的!

  10. 我想

    不要去害人 做事能夠心安理得

    對得起自己

    這樣就夠了!

    別要去在意別人講了什麼

    反正我最後的依歸都是指參考高大的文章的~

    畢竟 路遙知馬力 日久見"文"心~對吧

  11. 大大 可以請教你怎麼 刪除 AVG 嗎

    因為 AVG 好像會擋勁舞團 然後 我的AVG 被我刪的七七八八的

    但是安全中心還是顯示 AVG 開啟 ( 我卻找不到) 所以 能請教你嗎?

    麻煩囉

    可以的話 能用及時通聯絡媽?

    可以的話就+我 信箱的就可以了 謝謝

高登 發表迴響取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料