注意:要完整移除此病毒請同時參照TROJ_KILLAV.WW.病毒清除步驟。
自動移除病毒
若要使用自動移除,請下載清除工具http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-PE_SALITY.zip
解壓縮後直接執行fixtool進行清除。
手動清除病毒
辨識病毒相關檔案
1.使用趨勢科技防毒軟體掃描整台電腦
2.注意所有被偵測為PE_SALITY.EN-1之檔案路徑及檔案名稱
注意:掃描之前請確認病毒碼及掃描引擎已更新至最新。
中斷病毒程序
此步驟須參照先前所偵測到之病毒process,然後依照下列步驟執行
1. 開啟工作管理員.
‧ 於Windows 98 和 ME, 請按CTRL+ALT+DELETE
‧ 於Windows NT, 2000, XP, 和Server 2003, 請按CTRL+SHIFT+ESC, 然後點選處理程序標籤.
2. 在處理程序s欄位中, 找尋先前所偵測到之病毒檔案名稱
3. 找到後,選擇”結束處理程序”將該病毒程序中斷執行
4. 對其他病毒檔案執行相同的步驟
5. 確認所有病毒程序均已經中斷執行
6. 關閉工作管理員.
注意:在Win98、WinME環境下會無法顯示部分程序,若遭遇此情況,你可以使用第三方 工具,例如,微軟提供的免費工具process explorer(http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx)來中斷病毒處理程序。
如果使用工作管理員或process explorer但卻找不到病毒程序,請繼續往下參照處理方式。若是無法中斷病毒程序,則請先重新開機並進入安全模式,再行中斷病毒處理程序。
還原遭病毒刪除, 修改, 或是覆蓋 之檔案
請使用還原工具或重新安裝程式以還原遭感染之檔案。
Windows ME/XP 清除重點
若作業系統為Windows ME 和XP 必須關閉還原點以便做完整掃瞄
執行趨勢科技防毒軟體
如果在安全模式,請先正常開機,開機後,確認趨勢科技防毒軟體原件已更新至最新,並執行全機掃瞄並確認PE_SALITY.EN-1 and TROJ KILLAV.WW是否均已清除。
技術細節:
感染方式
此病毒可由其他惡意程式經遠端下載,它能在使用者瀏覽網頁時,在使用者不知情的情況下下載並感染。
此病毒會產生檔案 %System%\drivers\{random filename}.sys 路徑下,趨勢科技偵測為TROJ_KILLAV.WW.。
(注意: %System%\userinit.exe,其中%System%所指的是Windows 系統目錄,預設為 - 於Windows 98 和ME C:\Windows\System ﹔- 於Windows NT和 2000 C:\WINNT\System32 ﹔- 於 Windows XP 和Server 2003 C:\Windows\System32)
其他系統設定修改
該病毒會產生下列機碼
HKEY_CURRENT_USER\Software\{User Name}914
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\System
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3360pr
ImagePath = "%System%\drivers\{random file name}.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dac970nt
ImagePath = "%System%\drivers\{random file name}.sys"
它會刪除下列機碼
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = "cmd.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SafeBoot\Network
中斷程序
如果病毒發現下列服務,會中斷該服務
‧ aswUpdSv
‧ avast! Antivirus
‧ avast! Mail Scanner
‧ avast! Web Scanner
‧ AVP
‧ BackWeb Plug-in - 4476822
‧ bdss
‧ BGLiveSvc
‧ BlackICE
‧ CAISafe
‧ ccEvtMgr
‧ ccProxy
‧ ccSetMgr
‧ F-Prot Antivirus Update Monitor
‧ F-Secure Gatekeeper Handler Starter
‧ fsbwsys
‧ FSDFWD
‧ fshttps
‧ InoRPC
‧ InoRT
‧ InoTask
‧ ISSVC
‧ LavasoftFirewall
‧ LIVESRV
‧ McAfeeFramework
‧ McShield
‧ McTaskManager
‧ navapsvc
‧ NOD32krn
‧ NPFMntor
‧ NSCService
‧ Outpost Firewall main module
‧ OutpostFirewall
‧ PAVFIRES
‧ PAVFNSVR
‧ PavProt
‧ PavPrSrv
‧ PAVSRV
‧ PcCtlCom
‧ PersonalFirewal
‧ PREVSRV
‧ ProtoPort Firewall service
‧ PSIMSVC
‧ RapApp
‧ SmcService
‧ SNDSrvc
‧ SPBBCSvc
‧ Symantec Core LC
‧ Tmntsrv
‧ TmPfw
‧ tmproxy
‧ UmxAgent
‧ UmxCfg
‧ UmxLU
‧ UmxPol
‧ vsmon
‧ VSSERV
‧ WebrootDesktopFirewallDataService
‧ WebrootFirewall
‧ XCOMM
其他細節
病毒會修改System.ini並加入下列字串
‧ [MCIDRV_VER]
‧ DEVICEMB={Random numbers}
它會檢查下列機碼
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
如果發現有防毒或資安相關軟體,則會刪除相關機碼
‧ _AVPM
‧ A2GUARD
‧ AAVSHIELD
‧ ADVCHK
‧ AHNSD
‧ AIRDEFENSE
‧ ALERTSVC
‧ ALMON
‧ ALOGSERV
‧ ALSVC
‧ AMON
‧ ANTI-TROJAN
‧ ANTIVIR
‧ ANTS
‧ APVXDWIN
‧ ARMOR2NET
‧ ASHAVAST
‧ ASHDISP
‧ ASHENHCD
‧ ASHMAISV
‧ ASHPOPWZ
‧ ASHSERV
‧ ASHSIMPL
‧ ASHSKPCK
‧ ASHWEBSV
‧ ASWUPDSV
‧ ATCON
‧ ATUPDATER
‧ ATWATCH
‧ AUPDATE
‧ AUTODOWN
‧ AUTOTRACE
‧ AUTOUPDATE
‧ AVAST
‧ AVCIMAN
‧ AVCONSOL
‧ AVENGINE
‧ AVGAMSVR
‧ AVGCC
‧ AVGCC32
‧ AVGCTRL
‧ AVGEMC
‧ AVGFWSRV
‧ AVGNT
‧ AVGNTDD
‧ AVGNTMGR
‧ AVGSERV
‧ AVGUARD
‧ AVGUPSVC
‧ AVINITNT
‧ AVKSERV
‧ AVKSERVICE
‧ AVKWCTL
‧ AVP32
‧ AVPCC
‧ AVPM
‧ AVPUPD
‧ AVSCHED32
‧ AVSYNMGR
‧ AVWUPD32
‧ AVWUPSRV
‧ AVXMONITOR9X
‧ AVXMONITORNT
‧ AVXQUAR
‧ BACKWEB-4476822
‧ BDMCON
‧ BDNEWS
‧ BDOESRV
‧ BDSS
‧ BDSUBMIT
‧ BDSWITCH
‧ BLACKD
‧ BLACKICE
‧ CAFIX
‧ CCAPP
‧ CCEVTMGR
‧ CCPROXY
‧ CCSETMGR
‧ CFIAUDIT
‧ CLAMTRAY
‧ CLAMWIN
‧ CLAW95
‧ CLAW95CF
‧ CLEANER
‧ CLEANER3
‧ CLISVC
‧ CMGRDIAN
‧ CUREIT
‧ DEFWATCH
‧ DOORS
‧ DRVIRUS
‧ DRWADINS
‧ DRWEB32W
‧ DRWEBSCD
‧ DRWEBUPW
‧ ESCANH95
‧ ESCANHNT
‧ EWIDOCTRL
‧ EZANTIVIRUSREGISTRATIONCHECK
‧ F-AGNT95
‧ FAMEH32
‧ FAST
‧ FCH32
‧ FILEMON
‧ FIRESVC
‧ FIRETRAY
‧ FIREWALL
‧ FPAVUPDM
‧ F-PROT95
‧ FRESHCLAM
‧ FSAV32
‧ FSAVGUI
‧ FSBWSYS
‧ F-SCHED
‧ FSDFWD
‧ FSGK32
‧ FSGK32ST
‧ FSGUIEXE
‧ FSM32
‧ FSMA32
‧ FSMB32
‧ FSPEX
‧ FSSM32
‧ F-STOPW
‧ GCASDTSERV
‧ GCASSERV
‧ GIANTANTISPYWAREMAIN
‧ GIANTANTISPYWAREUPDATER
‧ GUARDGUI
‧ GUARDNT
‧ HREGMON
‧ HRRES
‧ HSOCKPE
‧ HUPDATE
‧ IAMAPP
‧ IAMSERV
‧ ICLOAD95
‧ ICLOADNT
‧ ICMON
‧ ICSSUPPNT
‧ ICSUPP95
‧ ICSUPPNT
‧ IFACE
‧ INETUPD
‧ INOCIT
‧ INORPC
‧ INORT
‧ INOTASK
‧ INOUPTNG
‧ IOMON98
‧ ISAFE
‧ ISATRAY
‧ ISRV95
‧ ISSVC
‧ KAVMM
‧ KAVPF
‧ KAVPFW
‧ KAVSTART
‧ KAVSVC
‧ KAVSVCUI
‧ KMAILMON
‧ KPFWSVC
‧ KWATCH
‧ LOCKDOWN2000
‧ LOGWATNT
‧ LUALL
‧ LUCOMSERVER
‧ LUUPDATE
‧ MCAGENT
‧ MCMNHDLR
‧ MCREGWIZ
‧ MCUPDATE
‧ MCVSSHLD
‧ MINILOG
‧ MYAGTSVC
‧ MYAGTTRY
‧ NAVAPSVC
‧ NAVAPW32
‧ NAVLU32
‧ NAVW32
‧ NEOWATCHLOG
‧ NEOWATCHTRAY
‧ NISSERV
‧ NISUM
‧ NMAIN
‧ NOD32
‧ NOD32
‧ NORMIST
‧ NOTSTART
‧ NPAVTRAY
‧ NPFMNTOR
‧ NPFMSG
‧ NPROTECT
‧ NSCHED32
‧ NSMDTR
‧ NSSSERV
‧ NSSTRAY
‧ NTRTSCAN
‧ NTXCONFIG
‧ NUPGRADE
‧ NVC95
‧ NVCOD
‧ NVCTE
‧ NVCUT
‧ NWSERVICE
‧ OFCPFWSVC
‧ OUTPOST
‧ PAVFIRES
‧ PAVFNSVR
‧ PAVKRE
‧ PAVPROT
‧ PAVPROXY
‧ PAVPRSRV
‧ PAVSRV51
‧ PAVSS
‧ PCCGUIDE
‧ PCCIOMON
‧ PCCNTMON
‧ PCCPFW
‧ PCCTLCOM
‧ PCTAV
‧ PERSFW
‧ PERTSK
‧ PERVAC
‧ PNMSRV
‧ POP3TRAP
‧ POPROXY
‧ PREVSRV
‧ PSIMSVC
‧ QHM32
‧ QHONLINE
‧ QHONSVC
‧ QHPF
‧ QHWSCSVC
‧ RAVMON
‧ RAVTIMER
‧ REALMON
‧ REALMON95
‧ RFWMAIN
‧ RTVSCAN
‧ RTVSCN95
‧ RULAUNCH
‧ SAVADMINSERVICE
‧ SAVMAIN
‧ SAVPROGRESS
‧ SAVSCAN
‧ SCAN32
‧ SCANNINGPROCESS
‧ SCHED
‧ SDHELP
‧ SHSTAT
‧ SITECLI
‧ SPBBCSVC
‧ SPHINX
‧ SPIDERML
‧ SPIDERNT
‧ SPIDERUI
‧ SPYBOTSD
‧ SPYXX
‧ SS3EDIT
‧ STOPSIGNAV
‧ SWAGENT
‧ SWDOCTOR
‧ SWNETSUP
‧ SYMLCSVC
‧ SYMPROXYSVC
‧ SYMSPORT
‧ SYMWSC
‧ SYNMGR
‧ TAUMON
‧ TBMON
‧ TDS-3
‧ TEATIMER
‧ TFAK
‧ THAV
‧ THSM
‧ TMAS
‧ TMLISTEN
‧ TMNTSRV
‧ TMPFW
‧ TMPROXY
‧ TNBUTIL
‧ TRJSCAN
‧ UP2DATE
‧ VBA32ECM
‧ VBA32IFS
‧ VBA32LDR
‧ VBA32PP3
‧ VBSNTW
‧ VCHK
‧ VCRMON
‧ VETTRAY
‧ VIRUSKEEPER
‧ VPTRAY
‧ VRFWSVC
‧ VRMONNT
‧ VRMONSVC
‧ VRRW32
‧ VSECOMR
‧ VSHWIN32
‧ VSMON
‧ VSSERV
‧ VSSTAT
‧ WATCHDOG
‧ WEBPROXY
‧ WEBSCANX
‧ WEBTRAP
‧ WGFE95
‧ WINAW32
‧ WINROUTE
‧ WINSS
‧ WINSSNOTIFY
‧ WRADMIN
‧ WRCTRL
‧ XCOMMSVR
‧ ZATUTOR
‧ ZAUINST
‧ ZLCLIENT
‧ ZONEALARM
它同時也會將病毒程式覆蓋到正常程式上。
此病毒可在Windows 98, ME, NT, 2000, XP, Server 2003執行。
檢視次數: