Search in uioop.blogspot.com

Labels

Sunday, December 2, 2007

ntdelect.com即WORM_NSPM.JS病毒清除方法!

病毒名称 WORM_NSPM.JS

风险级别 一般

病毒简述 此蠕虫可能是在用户访问恶意网站时被暗中下载的。

它会释放文件/组件,其中的一些被趋势科技防毒产品检测为TROJ_NSPM.VY。由此,被释放的文件的行踪也就在受感染系统中被发现。

它使用其所释放的.sys文件作为其Rootkit组件以隐藏其文件和进程。

它通过在所有物理、移动设备和共享文件夹中释放它自己的拷贝以及一个Autorun.INF文件来进行传播。当上述驱动器被访问,被释放的文件会自动执行。

它也会访问WEB网站下载其自身的拷贝。

受其影响的系统包括:Windows NT, 2000, XP, Server 2003

病毒清除方法 识别恶意文件

1. 使用趋势科技反病毒产品扫描您的计算机。

2. 注意所有被检测为WORM_NSPM.JS的文件的路径和文件名。

趋势科技的用户请在扫描计算机前下载最新的病毒特征码。其他的互联网用户可以使用Housecall,这是趋势科技的免费在线病毒扫描。

使用恢复控制台删除恶意文件

用于Windows NT, 2000, XP, Server 2003系统

以下流程允许通过Windows安装盘重启计算机。

1. 将您的Windows安装盘插入光驱中。

2. 按下您计算机的重启按钮。

3. 重启后,按下任意键以从光盘启动

4. 主菜单出现后,输入r以启动恢复控制台。

(注意:对Windows2000,在输入r后,按下c以便在修复选项界面中选择恢复控制台)

5. 启动后,输入您的管理员密码以便登陆。

6. 进入控制台后,在出现的命令行中输入您安装Windows的盘符,然后敲击回车。

7. 输入Windows安装所在的盘符,敲击回车。

8. 输入以下命令并敲击回车:

del %System%\wincab.sys

(注意:%System%是Windows系统目录,在Windows 98和ME上通常是C:\Windows\System,在Windows NT和2000上通常是C:\WINNT\System32,在Windows XP, Server 2003上通常是C:\Windows\System32)

9. 对以下文件重复以上流程。

del %System%\kavo.exe

10. 对前面检测到的所有文件重复以上流程。

11. 输入exit以便重启系统。

删除注册表中的自启动项目

此解决方案删除/修改被恶意程序添加/修改的注册表键值。在采取以下步骤前,请确定您知道如何备份注册表,以及当有问题发生时如何恢复注册表。请参考此微软文档了解如何修改注册表。

1. 打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter

2. 在左边的面板中,双击HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

3. 在右边的面板中,找到并删除项目数据值

kava = "%System%\kavo.exe"

4. 在左边的面板中,双击HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

5. 还是在左边的面板中,找到并删除项目数据值

ghtrfdcxdswea

6. 关闭注册表编辑器

恢复注册表键值

此解决方案恢复被恶意程序添加/修改的注册表键值。在采取以下步骤前,请确定您知道如何备份注册表,以及当有问题发生时如何恢复注册表。请参考此微软文档了解如何修改注册表。

1. 在注册表编辑器的左边面板中,双击HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL

2. 在右边面板中,找到

CheckedValue = "0"

3. 右击它并选择修改,将其值改为

1

4. 关闭注册表编辑器

删除恶意Autorun.INF/s

1. 右键点击“开始”然后点击“搜索…”或“寻找…”,取决于您所运行的系统。

2. 在Name输入框中输入:

AUTORUN.INF

3. 在Look In下拉菜单中,选择一个磁盘,然后按下回车。

4. 选择此文件,用Notepad打开。

5. 检查文件中是否有以下内容:

open=ntdelect.com

;shell\open=Open(&O)

shell\open\Command=ntdelect.com

shell\open\Default=1

;shell\explore=Manager(&X)

shell\explore\Command=ntdelect.com

6. 如果存在以上内容,删除此文件。

7. 对其他磁盘中的AUTORUN.INF重复3-6步。

8. 关闭搜索结果窗口。

重要Windows ME/XP清除说明

运行Windows ME和XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。

运行其他Windows版本的用户可以不需要处理上面的附加说明。

No comments:

AVG Internet Security 2013

Total Pageviews

Contributors