Windows ME/XP的使用者,在執行任何掃描動作前,請先關閉掉系統還原功能.
使用其他Windows版本的使用者,可以直接執行下列步驟
使用還原主控台刪除惡意程式檔案
該惡意程式採用複雜memory-residency技術,使用者特別難以終止程式並從系統中刪除。
為了要成功刪除惡意程式,您需要開機時使用恢還原主控台
1. 使用Windows 2000或XP 光碟片開機(Windows NT光碟片是無法使用),在歡迎安裝畫面上,按下R進行修復。
2. 您修復Windows安裝,請選擇對應的數字。 通常是使用 1。
3. 請輸入Administrator密碼,若是Administrator是不存在,請按下Enter.
4. 在命令提示字元下,切換到被惡意程式資料夾
5. 在被偵測到的惡意程式目錄下,輸入下列指令
DEL %System Root%\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
(Note: %System Root% 是根目錄,通常是c:\.這通常是作業系統安裝的目錄 It is also where the operating system is located.)
6. 重新開機
修改登錄編輯程式
該惡意程式會修改電腦的registry,用戶受到病毒感染可能需要修改或是刪除特定的registry keys或entries.
關於登錄編輯程式修改,如需要詳細資料,請參考微軟網站
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003 Removing Autostart Key from the Registry
從登錄編輯程式移除key,可以預防當開機時惡意程式自動被執行
如果下列registry key 沒有被找到,惡意程式可能已經無法執行.
如果是這樣,請參考下列解決方案
1. 開啟登錄編輯程式.點選 開始 >執行 輸入regedit
2. 在左邊的視窗雙擊開啟HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon>Notify
3. 在左邊的視窗刪除下列機碼
winsys2freg
4. 關閉登錄編輯程式
刪除惡意程式
1. 在 %System Root%\Documents and Settings\All Users\Documents\Settings資料夾, 找到下列檔案:
DESKTOP.INI
2. 請按 SHIFT+DELETE刪除此檔案
執行趨勢科技防毒軟體
1. 如果您正在安全模式下,請重新開機至正常模式執行下列步驟.
2. 使用趨勢防毒軟體掃瞄,並刪除被偵測為TROJ_AGENT.GVU 和TROJ_AGENT.GXG.的檔案.趨勢科技用戶,請先將電腦更新至最新的病毒碼。非趨勢科技用戶可以使用趨勢科技線上掃毒HouseCall
技術細節:
這個檔案感染者有可能是被其他惡意程式產生出來.使用者有可能在不知情的情況下瀏覽惡意網站後被下載.
被產生出來的檔案會在 %System Root%\Documents and Settings\All Users\Documents\Settings 資料夾
DESKTOP.INI - 非惡意元件檔案
WINSYS2F.DLL - 趨勢科技偵測為 TROJ_AGENT.GXG
WINSYS2F.DLL~ - 從WINSYS2F.DLL複製
然後將檔案WINSYS2F.DLL ~插入到合法的程序,如WINLOGON.EXE,以避免直接被檢測,及確保存在在記憶體。
會建立以下registry key,以確保每次Windows啟動時能自動執行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg
一旦被感染,會隨機的開啟通訊埠並作為一個proxy server.
Proxy Server 做為使用者與Server間的媒介。當收到傳入的請求,會將收到的請求轉到目標伺服器。當proxy server收到回覆,會回覆給原來的使用者。
當惡意程式執行在受影響的作業系統,proxy會將惡意程式作者身份影響,因為該IP位址對使用者而言是被隱藏的
檢視次數: