最新主題最新主題  行事曆行事曆  搜尋論壇搜尋  幫助幫助
自訂搜尋
  註冊註冊  登入登入
資訊安全、病毒防護
 心靈的交叉點 : 侑昌資訊/隆達資訊 : 資訊安全、病毒防護
>
主題: 病毒 W32.Downadup 移除方式 回覆主題 發表新主題
作者 訊息
leader
管理階層
管理階層
頭像

註冊: 2006/十一月/15
發表: 338
引用 leader 回覆bullet 主題: 病毒 W32.Downadup 移除方式
    發表於︰ 2008/十二月/15 在 11:52am

移除方式

1. 關閉「系統還原」(Windows Me/XP)

2. 更新病毒定義檔。

3. 執行完整的系統掃描。

4. 刪除新增到登入檔的鍵值。

關於這些步驟的詳細資訊,請閱讀下列指示:

1. 關閉「系統還原」(Windows Me/XP)

如果你使用的是Windows MeWindows XP,我們建議你暫時關閉系統還原。MeXP預設是打開這項功能的,回復這些檔案可能造成它們的損壞。如果是病毒,蠕蟲,或木馬感染了電腦,系統還原有可能備份這些檔案。

Windows預防外來的程式,包括防毒軟體修改系統還原。因此防毒軟體或工具無法移除系統還原資料夾裡面的威脅。因此即使你在其他的地方刪除了有感染的檔案,系統還原還是有可能存有受感染的檔案。

此外,病毒掃描可能會偵測到威脅在系統還原的資料夾即使你早就移除了威脅。

至於如何關閉作業系統上的系統還原功能可閱讀本機的Windows說明文件或參照下列連結裡的說明:

l   "如何開啟或關閉Windows ME的系統還原功能"(英文)

l   "如何開啟或關閉Windows XP的系統還原功能"(英文)

注意:如果你完成了移除威脅的程序,請重啟系統還原。

如果想要獲得額外的資訊,和另一種關閉Windows Me的系統還原,你可以查閱微軟知識庫的文章:Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Article ID: Q263455).

2. 更新病毒定義檔。

Symantec Security Response對於所有在網站上公佈的病毒定義檔都有做完整的測試。有兩種方式可以獲得病毒定義檔。

l   執行LiveUpdate,這是一個較容易的方法取得病毒定義檔。

l   如果你使用Norton AntiVirus 2006Symantec AntiVirus Corporate Edition 10.0,或更新的產品,LiveUpdate將會是每日更新。這些產品擁有更新的技術。

l   如果你使用Norton AntiVirus 2005Symantec AntiVirus Corporate Edition 9.0,或較早的產品,LiveUpdate將會是每週更新。major outbreaks是例外,他會更新的稍微頻繁一點。

l   藉由Intelligent Updater下載定義:Intelligent Updater病毒定義是每日更新。你應該從Symantec Security Response網站下載定義並手動更新它們。Intelligent Updater提供了這些威脅的定義,在Virus Definitions (Intelligent Updater)

最新的Intelligent Updater virus definitions可以在這裡找到:Intelligent Updater virus definitions。想要知道詳細的資料可以閱讀下列文件:How to update virus definition files using the Intelligent Updater

3. 執行完整的系統掃描。

a. 執行您的Symantec antivirus並確定其設定為掃描所有的檔案。

l   Norton AntiVirus consumer products:請閱讀下列文件:How to configure Norton AntiVirus to scan all files

l   Symantec AntiVirus Enterprise products: 請閱讀下列文件:How to verify that a Symantec Corporate antivirus product is set to scan all files

b. 執行全系統掃瞄。

c. 如果有發現任何檔案,用您的防毒軟體執行下列動作。

重要:如果您的軟體無法刪除檔案,你可以試著進入安全模式去停止風險檔案。讀下列文件了解詳細:How to start the computer in Safe Mode一旦您進入安全模式,試著重新掃描一次。

刪除檔案後,在普通模式重啟電腦並執行下一段的動作。

如果威脅並未完全地移除,電腦重啟後可能會有警告訊息。你可以忽略訊息並按確定。這些訊息當你完全執行所有的移除病毒動作將不會再出現。訊息可能如下:

Title: [FILE PATH]
Message body:
Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. 刪除新增到登入檔的鍵值。

重要:Symantec強烈建議您更改機碼前先備份它。更改錯誤可能會造成資料遺失或檔案毀損。這裡只更改特定的機碼。可以參考以下文件:How to make a backup of the Windows registry.

a. 按下「開始」,然後按下「執行」。

b. 輸入 regedit 然後按下「確定」。

c. 按下「確定」。

注意:您可能要為了預防進入機碼編輯器而更改機碼如果您試圖用機碼編輯器打開威脅失敗。Security Response建置了一個tool可以解決。下載並執行這個tool,並繼續移除程序。

d. 指到下列位置並刪除登入檔機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs
\Parameters\"ServiceDll" = "[PATH OF WORM EXECUTABLE]"

e. 關閉機碼編輯器。

IP IP已記錄
leader
管理階層
管理階層
頭像

註冊: 2006/十一月/15
發表: 338
引用 leader 回覆bullet 發表於︰ 2010/四月/07 在 2:51pm

  W32.Downadup.B病毒专杀方法
  1.安装微软安全更新MS08-067,安装地址:
  http://www.microsoft.com/china/technet/security/bulletin/ms08-067.mspx
  2.禁用系统还原(WindowsMe/XP)
  如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
  Windows禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
  此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。
  注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
  3.更新病毒定义。
  4.查找并终止服务
  (1)单击“开始”>“运行”。
  (2)键入services.msc,然后单击“确定”。
  (3)查找并选择检测到的服务。
  (4)单击“操作”>“属性”。
  (5)单击“停止”。
  (6)将“启动类型”更改为“手动”。
  (7)单击“确定”,然后关闭“服务”窗口。
  (8)重新启动计算机。
  5.根据需要,查找并删除任务计划
  (1)单击“开始”>“程序文件”。
  (2)单击>“附件”。
  (3)单击>“系统工具”。
  (4)单击>“任务计划”。
  (5)找到并选择任务计划。
  (6)单击删除此项目
  (7)单击是并关闭“任务计划”窗口。
  (8)重新启动计算机。
  6.运行全面系统扫描
  7.从注册表中删除值
  (1)单击“开始”>“运行”。
  (2)键入regedit,
  (3)然后单击“确定”。
  (4)导航至下列注册表项并将其删除:
  *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"
[RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos"
  *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"
  *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\
"dl"="0"
  *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
  *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\
"ds"="0"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"Type"="4"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"Start"="4"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"ErrorControl"="4"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"
  (5)根据需要,将下列注册表项恢复到其以前的值:
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
"TcpNumConnections"="00FFFFFE"  *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"
  (6)退出注册表编辑器。
  注意:如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有HKEY_CURRENT_USER项。
IP IP已記錄
回覆主題 發表新主題
列印預覽 列印預覽

論壇跳轉
不可以 在本版發表新主題
不可以 在本版回覆主題
不可以 在本版刪除您的發言
不可以 在本版編輯您的發言
不可以 在本版建立投票
不可以 在本版投票



頁面執行時間為 0.155 秒。
  
Page Rank Check
 服務地址:台中市北區梅川西路三段39巷18號五樓之十 服務電話:886-4-22927366
 電子郵件:yoursun@yoursun.com.tw 版權所有 © 2006 侑昌資訊股份有限公司