病毒名称 WORM_NSPM.JS
风险级别 一般
病毒简述 此蠕虫可能是在用户访问恶意网站时被暗中下载的。
它会释放文件/组件,其中的一些被趋势科技防毒产品检测为TROJ_NSPM.VY。由此,被释放的文件的行踪也就在受感染系统中被发现。
它使用其所释放的.sys文件作为其Rootkit组件以隐藏其文件和进程。
它通过在所有物理、移动设备和共享文件夹中释放它自己的拷贝以及一个Autorun.INF文件来进行传播。当上述驱动器被访问,被释放的文件会自动执行。
它也会访问WEB网站下载其自身的拷贝。
受其影响的系统包括:Windows NT, 2000, XP, Server 2003
病毒清除方法 识别恶意文件
1. 使用趋势科技反病毒产品扫描您的计算机。
2. 注意所有被检测为WORM_NSPM.JS的文件的路径和文件名。
趋势科技的用户请在扫描计算机前下载最新的病毒特征码。其他的互联网用户可以使用Housecall,这是趋势科技的免费在线病毒扫描。
使用恢复控制台删除恶意文件
用于Windows NT, 2000, XP, Server 2003系统
以下流程允许通过Windows安装盘重启计算机。
1. 将您的Windows安装盘插入光驱中。
2. 按下您计算机的重启按钮。
3. 重启后,按下任意键以从光盘启动
4. 主菜单出现后,输入r以启动恢复控制台。
(注意:对Windows2000,在输入r后,按下c以便在修复选项界面中选择恢复控制台)
5. 启动后,输入您的管理员密码以便登陆。
6. 进入控制台后,在出现的命令行中输入您安装Windows的盘符,然后敲击回车。
7. 输入Windows安装所在的盘符,敲击回车。
8. 输入以下命令并敲击回车:
del %System%\wincab.sys
(注意:%System%是Windows系统目录,在Windows 98和ME上通常是C:\Windows\System,在Windows NT和2000上通常是C:\WINNT\System32,在Windows XP, Server 2003上通常是C:\Windows\System32)
9. 对以下文件重复以上流程。
del %System%\kavo.exe
10. 对前面检测到的所有文件重复以上流程。
11. 输入exit以便重启系统。
删除注册表中的自启动项目
此解决方案删除/修改被恶意程序添加/修改的注册表键值。在采取以下步骤前,请确定您知道如何备份注册表,以及当有问题发生时如何恢复注册表。请参考此微软文档了解如何修改注册表。
1. 打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
2. 在左边的面板中,双击HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3. 在右边的面板中,找到并删除项目数据值
kava = "%System%\kavo.exe"
4. 在左边的面板中,双击HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
5. 还是在左边的面板中,找到并删除项目数据值
ghtrfdcxdswea
6. 关闭注册表编辑器
恢复注册表键值
此解决方案恢复被恶意程序添加/修改的注册表键值。在采取以下步骤前,请确定您知道如何备份注册表,以及当有问题发生时如何恢复注册表。请参考此微软文档了解如何修改注册表。
1. 在注册表编辑器的左边面板中,双击HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL
2. 在右边面板中,找到
CheckedValue = "0"
3. 右击它并选择修改,将其值改为
1
4. 关闭注册表编辑器
删除恶意Autorun.INF/s
1. 右键点击“开始”然后点击“搜索…”或“寻找…”,取决于您所运行的系统。
2. 在Name输入框中输入:
AUTORUN.INF
3. 在Look In下拉菜单中,选择一个磁盘,然后按下回车。
4. 选择此文件,用Notepad打开。
5. 检查文件中是否有以下内容:
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
6. 如果存在以上内容,删除此文件。
7. 对其他磁盘中的AUTORUN.INF重复3-6步。
8. 关闭搜索结果窗口。
重要Windows ME/XP清除说明
运行Windows ME和XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。
运行其他Windows版本的用户可以不需要处理上面的附加说明。
Search in uioop.blogspot.com
Labels
- Adobe CS4 (1)
- Affiliate Program (1)
- Android (7)
- Android Emulator (1)
- ASUS (1)
- browser (1)
- BT (1)
- Cloud Free Trial (1)
- Cyber Cafe (1)
- dual boot (1)
- Email (1)
- EXCEL (6)
- forex broker (1)
- free vpn (1)
- Gaming (1)
- GRUB (1)
- Hardware (4)
- IE (3)
- Inkscape (1)
- IP Camera (1)
- kaspersky (2)
- Linux (31)
- Lotus Notes (6)
- MacOS (9)
- MSSQL (2)
- MT4 (1)
- network (2)
- online torrent client (1)
- open source (1)
- OpenOffice (1)
- Oracle (1)
- PSU (1)
- regedit (10)
- remote desktop (1)
- RunDLL32 (1)
- SAMSUNG (1)
- Screen Recording (1)
- Server 2008 (6)
- Teardown (1)
- torrent (2)
- torrent client (2)
- Ubuntu (3)
- USB (1)
- virus (2)
- vista (7)
- Website (1)
- windows (1)
- windows 7 (10)
- Windows PE (1)
- WINPE 3.0 (1)
- xp (25)
- xp CMD (2)
- 注册表 (7)
- 線上教學 (1)
Sunday, December 2, 2007
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment