Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
網友留言詢問:
我的電腦是win10 1809版,7/31與8/1在微軟windows defender更新病毒定義檔後,完整掃描電腦後,連續2天都出現同一個病毒,病毒名稱為Trojan:JS/Foretype.A!ml ,但我使用網路非常小心且使用這台電腦已經一年以上windows defender未掃出病毒(這台是2017年9月購入)
而這個受影響的資料是D槽且已經很久都沒打開過的圖片檔(這些圖片檔在之前舊電腦就存在,且也用當時防毒軟體掃毒無數次都沒問題)
只有這2次都是在win10更新過後掃毒才跳出此問題,請問這會是什麼情況呢?
會是微軟掃毒誤判嗎? 還是更新檔有問題導致此情況呢?
歐飛回覆:
1. 電腦使用正常,那應該就正常。
是有可能防毒軟體誤判,所以重點是你的電腦目前使用上有沒有問題呢?
2. 重要資料平常就要備份到行動硬碟
電腦故障或電腦中毒偶爾真的會遇到,但只要你的重要資料有先備份,這些都是小事
3. 請用AdwCleaner 試試看
這一套在掃木馬的,我覺得很好用, 而且免費。
網友回覆:
其實我擔心的是,windows defender一更新病毒碼,就說我的檔案有毒,就算我有備份檔案,也禁不起每天都說檔案有毒,所以微軟的病毒更新定義檔是不是有問題?
歐飛:
您的電腦目前應該是能正常使用的,這是重點,明明電腦正常卻一直跳出有病毒,我猜啦,這是我的猜的,您可能有安裝破解版的軟體,特別是win10或office 的「破解檔」肯定會被windows defender偵側為有毒。
怎麼辦?
如果真的遇到這種情況,當windows defender偵側為有毒時,你可以手工點選「允許」或「同意」之類的,這樣就不會一直跳出有毒訊息了。
補充:
有些客戶會天天去更新病毒檔,然後天天掃毒,為何?因為他很擔心電腦中毒。
但現在的電腦只要有上網,真的都有中毒的風險,怎麼辦?
以下三點要避免:
1. 上網的時候要注意,不明的視窗不要亂點。
2. 不要執行來路不明的郵件的附檔(這種最容易中標)
3. 不要下載來路不明的檔案
其實最好的防毒是備份,重要的資料平常就要養成備份習慣,你可能還需要備二份(買兩顆行動硬碟),千萬不要等到電腦中毒了才再找解毒方法,或硬碟故障了才再找資料救援,說真的那很花錢,花的錢都夠你買好多顆行動硬碟了。
1.Adwcleaner並非屬於長駐型的軟體(因為沒有即時防護功能),所以頂多是在使用時暫時關閉Windows Defender,待操作結束後仍需重新啟用防毒軟體喔
2.A、B檔案先後中招,除了可能是誤判外,也可能是另外一種情況:防毒僅偵測到惡意程式產生的衍伸物,因為惡意程式本身沒有被清除,所以當然會不斷中獎了(用比喻來說,就像是警察一直抓小弟,但是犯罪組織的大哥沒落網,所以問題就不會解決)
3.備份的時間會與你備份的種類、使用的備份軟體、使用的儲存媒體、檔案大小的分布情況等要素有關。
A.如果使用差異備份(只備份上次備份起所變更、新增、刪除的檔案),因為需要實際讀寫的檔案大小有效減少,所以備份所需的時程也較短;如果使用完整備份,但有經過壓縮(如坊間某些系統備份軟體便是將所有須備份的資料封裝成一個壓縮檔),花費時程上也會比最純粹的複製法來得快些
B.實際上備份/複製時,已備份的檔案數目與已備份的檔案大小間並不是線性關係(實務上經常會出現複製一個大檔要等很久的情況),而HDD處理零碎小檔案的效能是比較低的(體現在跑分上就是4K那項的成績遠遜於SSD)
C.不確定你備份的所有條件都是固定的(都使用相同速度的介面進行備份,ex.都是USB 3.0;敝人曾經遇過接在機殼的USB 3.0上卻只跑到USB 2.0的速度過,要驗證這個部分可以透過測速軟體來驗證之)
剩下想問的部分:”檔案沒有多出很多”->這是你印象中有增減的檔案數目還是比對硬碟剩餘空間後的結論?因為在懷疑可能有惡意程式的時候,其實也要把隱藏檔案這件事考慮進來(另外一個可能性是某些系統的機能或是程式也可能會產生一定大小的檔案,ex.Windows內建的檔案歷程紀錄就會定期為你的檔案建立一個新的版本,你可以在檔案->內容->以前的版本中看到所有有效的檔案版本)
如果懷疑HDD有異常,建議可以用軟體(CrystalDiskInfo、MHDD、Victoria for Windows等)來做初步的檢測
感謝補充
關於備份軟體,有很多套,但怎麼說呢,大部份的人好像也沒有那麼多時間去研究這個
歐飛先生,你好,我是這篇文章問題的詢問人。
先感謝歐飛先生特地寫專文回覆我的問題,對於您給我的建議
1. 我的電腦目前使用正常
2. 若要使用AdwCleaner,是不是要先關閉Windows Defender呢?
3. Office軟體方面,購買電腦時,我向電腦公司要求必須要能打開2003的Office檔案,電腦公司說他們無法保證2016能打開,要替我裝2010的測試版,我薄弱的記憶印象中是跟我說那是正版,所以我也不知道是不是破解版了= =|||
4. 我了解使用電腦完全不中毒是不可能的,畢竟今年連ASUS本身的Update都被駭了。而我會想會不會是Windows Defender的病毒碼有問題是因為:7/31,電腦掃出病毒後,跟我說是A資料夾的A.jpg有問題,因為該檔案有備份過,所以我依照指示移除,檢查Windows Update發現是在更新病毒碼後掃描,覺得檔案大概就是真中毒被這波更新掃出來。因為中毒的關係,我把8月底的備份計畫提前,為求安心8/1再掃一次,卻又跟我說是A資料夾的B.jpg中了同一個病毒。連續2天這樣,我才會有是不是一更新病毒碼,就說我檔案有毒的想法,這樣我永遠也備不了份,才想問問看這種情況是不是真中毒。
5. 移除2個jpg圖後,Windows Defender掃描是沒有再說中毒了。倒是一備份備了12個小時,我上次備份是2019/6/23,檔案並沒有多出太多,我是用最笨的全部複製的方法,過去備份大約2小時以內,這是硬碟壞軌了嗎?
另外,感謝願意回覆我這個問題的網友們,謝謝
了解。
總之目前電腦如果正常,就是繼續用。(沒道理要你重灌,對吧)
重點是要備份,您有備份,那就對了。
這個使用者的感受(包含”以前掃描都正常”這部分),如果我們把它切換成人遇到的情況,或許就比較好釐清了
以前掃描都正常,使用習慣也很好->就像人一樣,即使有定期做健檢、有好的生活習慣,還是有可能會生病;定期掃描跟良好習慣只能降低使用者遇到惡意程式攻擊的機率(ex.遇到零日漏洞,即使你有良好的使用習慣,還是會因為那個已被利用、尚未修補的安全漏洞而遭到攻擊;當然一段時間後,隨著漏洞被修補,這個威脅就會被緩解);甚至有些時候是使用者所信賴的渠道被動手腳,(ex.官網的檔案被”惡意加料”)
而如果你在A醫院做了檢查發現身體有毛病,那通常要嘛
1.照著醫院的診斷去做後續處理->照著防毒的指示處理
2.再去其他醫院(B、C、D醫院等)做檢查,蒐集其他意見後做最終決定->把檔案上傳Virustotal之類的服務做鑑識,或是改成用其他套防毒軟體/輔助工具進行掃描
3.放著不管->加入例外或是取消防毒的動作
感謝補充~~~
過幾天若便沒有,就是誤判或是防毒更新修正了。
這不一定,總之,防毒誤判的情況也很常見
例如,你用了破解檔
防毒本來就沒有所謂的最好,只有適不適合你使用,用起來對不對味
每家防毒本來就有不同的強項,見仁見智,還得看自己的使用習慣來決定
我舉個例,以台灣眾多網友推薦的卡巴斯基來說,雖然在各方面都很強大,而且設定項目也很強大,但是你叫個老人家或是不懂電腦的人使用這款,你覺得他會知道怎麼設定才能達到最好的保護效果?
我通常這樣建議,如果你習慣用XX,那你就是繼續用XX。
否則就是用微軟防毒,永久免費更新病毒碼,省事。
好的習慣確實是最重要的,否則再好的防毒也救不了你
現在的防毒軟體相較以前的純入庫報毒已經有不少的進步,包含主防,啟發,雲信譽和AI等等,對未知的防禦能力已經是相當不錯
AdwCleaner這是比較偏向於處理善後的層面,大多是用於首頁被綁架或是瀏覽器被嵌入廣告後掃描清登陸檔等等,本身幾乎沒有防護能力,如果要預防可以選同家出品的Malwarebytes,是扮演一種輔防的角色,專門負責防毒比較欠缺的部份(如PUP/PUA, 流氓, 廣告 等等),並且跟目前市面上大多數的防毒軟體都能共存,只是其付費版的網頁流量掃描可能會和少部分防毒有隱性衝突
至於破解檔一向都是資安界比較具爭議的地方,其實破解檔不一定是病毒,只是不同家的防毒認定會不同,比如美系防毒對破解程式幾乎是零容忍,不管他是否真的是病毒,又例如某俄羅斯防毒在大陸市場占多數,本土化會比較好,對破解就比較寬容等等,其實好的習慣還是付費支持正版比較好XD
說到windows defender的誤報,應該是跟微軟近期大力發展的機器學習技術有關,好處是對未知病毒有不錯的偵測率,並且只要是ML能夠處理的基本不入庫以做到病毒庫的精簡,但是其缺點就是會增加誤報,是因為在ML預測方面目前很多的實作是以設定一定的置信度判定是否為潛在威脅,百分比標準會直接影響誤報多寡,這問題不只是WD,像是美系的諾頓和趨勢也都有類似的狀況,其他防毒雖然也有運用機器學習,像俄羅斯的某巴防毒對於雲端的ML定義會更加嚴謹一些,並且預設只報明確的威脅,搭配其他元件本地雲端相輔相成,因此誤報會有所降低
在補充一點,有些人只要看到防毒軟體掃到病毒或是一直跳出來警告視窗,就會認為這個防毒軟體好棒棒。
(我不這麼認為,我是覺得防毒軟體一定要裝,這是一定的,但你如果要跟我講XX防毒最好,我才不信)