辨識病毒相關檔案
1.使用趨勢科技防毒軟體掃描整台電腦
2.記下所有所有被偵測為WORM.VB.DVP之檔案路徑及檔案名稱
停止病毒程式
因為此病毒的檔案名稱與作業系統上之合法檔案相同,所以需要使用第三方軟體如process explorer來辨識病毒程式,若你沒有任何類似軟體,請依照下列方式下載執行
1. 下載 Process Explorer.
2. 解壓縮檔案
3. 點選並執行 procexp.exe.
4. 在 Process Explorer window, 搜尋process:
EXPLORER.EXE
5. 對該病毒process按右鍵, 並選擇Properties.
6. 確認是否在下列路徑:
%System%
(注意: %System%\userinit.exe,其中%System%所指的是Windows 系統資料夾,預設為C:\Windows\System on Windows 98 and ME,C:\WINNT\System32 on Windows NT and 2000,or C:\Windows\System32 on Windows XP and Server 2003)
7. 如果是,對該process按右鍵, 並選擇Kill Process.
8. 關閉 Process Explorer.
注意: 如果用process explorer無法找到該病毒,請繼續參照列步驟操作,若是找到,但是無法中斷該病毒process,請重新開機,並進入安全模式。
移除病毒自動啟動機碼
執行前,請先備份機碼,可參照 微軟文件中說明如何修改電腦機碼
1. 開啟機碼編輯器,點選 開始>執行,輸入REGEDIT,輸入後按Enter鰎。
2. 搜尋下列機碼
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
3. 找到並刪除下列機碼資料
‧ EXPLORER.EXE = "EXPLORER.EXE"
‧ wsctf.exe = "wsctf.exe"
還原其他機碼設定
1. 搜尋下列機碼
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows NT>CurrentVersion>Winlogon
2. 在左邊視窗尋找下列資料
Userinit = "userinit.exe,EXPLORER.EXE"
3. 按右鍵以修改並還原資料至預設值,如下列
Userinit = "%System%\userinit.exe"
(注意: %System%\userinit.exe,其中%System%所指的是Windows 系統目錄,預設為 - 於Windows 98 和ME C:\Windows\System ﹔- 於Windows NT和 2000 C:\WINNT\System32 ﹔- 於 Windows XP 和Server 2003 C:\Windows\System32)
刪除其他機碼
1. 開啟機碼編輯器,並尋找機碼:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Explorer>MountPoints2
2. 在>MountPoints2中,使用搜尋功能尋找字串
:\EXPLORER.EXE
(注意:使用搜尋功能時,請確認只勾選”資料”欄位)
3. 找到後,在視窗右邊刪除下列資料
(Default) = "{Removable Drive}:\EXPLORER.EXE"
4. 尋找下ㄧ個。如果找到,重複上ㄧ步驟,直到全部清除
5. 關閉Registry Editor
刪除病毒產稱之Autorun.inf
1. 點選開始----搜尋
2. 選擇尋找檔案名城,並輸入”AUTORUN.INF”開始尋找
3. 找到後,先用notepad開啟autorun.inf
4. 檢查是否存在下列內容
OPEN=EXPLORER.EXE
shell\open=??(&O)
shell\open\Command=EXPLORER.EXE
shell\open\Default=1
shell\explore=?????(&X)
shell\explore\Command=EXPLORER.EXE
5. 若存在,請刪除該檔案
6. 重複步驟 3 to 5 檢查其他行動裝置根目錄下之autorun.inf
7. 關閉搜尋
Windows ME/XP 清除重點
若作業系統為Windows ME and XP 必須 disable System Restore 以便做完整掃瞄
執行Trend Micro Antivirus
如果在safe mode,請先正常開機,再執行下列solution
請確認趨勢科技防毒軟體原件已更新至最新,並執行全機掃瞄。
技術細節:
感染及安裝
此蠕蟲可經由遠端網頁下載,它能在使用者瀏覽網頁時,在使用者不知情的情況下下載並感染。
產生下列檔案在Windows目錄
‧ EXPLORER.EXE
此Explorer.exe名稱與原始合法檔案相同
自動執行
中毒後,會產生下列機碼,以便開機時能自行啟動
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
EXPLORER.EXE = "EXPLORER.EXE"
wsctf.exe = "wsctf.exe"
並修改下列機碼,以便開機時能自行啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
Userinit = "userinit.exe, EXPLORER.EXE"
(注意: %System%\userinit.exe,其中%System%所指的是Windows系統資料夾,預設- 於Windows 98 和ME C:\Windows\System ﹔- 於Windows NT和 2000 C:\WINNT\System32 ﹔- 於 Windows XP 和Server 2003 C:\Windows\System32)
在Windows XP作業系統上,它還會產生下列機碼,以確保病毒時會自動執行
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\MountPoints2\CPC\Volume\
{Random CLSID}\shell\Autorun\command
(Default) = {Removable Drive}:\EXPLORER.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\MountPoints2\CPC\Volume\
{Random CLSID}\shell\explore\command
(Default) = {Removable Drive}:\EXPLORER.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\MountPoints2\CPC\Volume\
{Random CLSID}\shell\open\command
(Default) = {Removable Drive}:\EXPLORER.EXE
經由行動裝置擴散感染
此病毒會自我複製到所有行動裝置,並且在裝置根目錄下產生autorun.inf,使用者在存取根目錄時便會自動執行感染病毒。
其中,Autorun.inf內容如下
[Autorun]
OPEN=EXPLORER.EXE
shell\open=??(&O)
shell\open\Command=EXPLORER.EXE
shell\open\Default=1
shell\explore=?????(&X)
shell\explore\Command=EXPLORER.EXE
中斷正常程序(process)
檢視次數: