確定是惡意檔案
1.使用趨勢科技產品掃描您的電腦
2.確定所有檔案的路徑和檔名都被偵測為WORM_SOHANAD.DQ
趨勢科技的使用者們在掃描電腦前需要下載最新的病毒碼。其他使用者可以使用趨勢科技現上威脅掃描-Housecall。
Deleting Malware Files using Windows Startup Disk
使用Windows開機磁片刪除惡意軟體
在Windows 98和ME系統中
此做法允許使用開機磁片重新啟動電腦
1.點選開始>程式集>控制台
2.在控制台中雙擊新增/移除程式。點選開機磁碟標籤頁
3.放入磁碟片和Windows安裝光碟,點選建立按鈕製作開機片
注意:此動作會刪除磁片的內容。
4.使用開機磁片重新啟動電腦
5.在命令提示字元下,找到被偵測惡意軟體的資料夾
6.在資料夾家,輸入下列指令
del {Malware file name}
7.重新開機
使用修復主控台刪除惡意s軟體
在Windows NT, 2000, XP, and Server 2003系統中
此做法允許使用Windows安裝光碟重新啟動電腦
1.將您的安裝光碟放入光碟機
2.自你的電腦上按下重新啟動的按鈕
3.當出現提示,按下任何鍵從光碟開機
4.當出現提示,在主選單中輸入r進入修復主控台
(注意:在windows 2000中,輸入r後,在修復選像螢幕上輸入c來選擇修復主控台)
5.當出現提示,輸入管理者帳號密碼登入
6.登入後,再命令提示中輸入Windows中的磁碟,然後按Enter
7.輸入下列指令,然後按Enter
del {Malware path and file name}
8.重複上述程序刪除之前偵測的所有檔案
9.輸入exit重新啟動系統
啟動登入編輯程式
此病毒停用登入編輯程式,要還原系統工具,請執行以下步驟:
1.開起執行視窗,點選開始>執行,輸入Notepad,然後按Enter,
2.複製貼上以下內容:
On Error Resume Next
Set shl = CreateObject("WScript.Shell")
Set fso = CreateObject("scripting.FileSystemObject")
shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
3.將檔案存檔命名為RESTORE.VBS並放到c:底下
4.點選開始>執行,輸入C:\RESTORE.VBS,然後按Enter
5.點選彈出提示訊息中的Yes
從登入編輯程式中移除自動執行的項目
該解決方案刪除/修改註冊表項/項 新增/修改了該惡意軟體。在執行以下步驟錢,請確保您知道如何備份註冊表,以及如何恢復,如果發生問題。請參閱此Microsoft文章更多有關修改您的電腦的註冊表。
1.開啟登入編輯程是。開始>執行,輸入regedit,然後按Enter
2.在左邊的面板中,雙擊以下內容:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
3.在右邊的面板中,找到並刪除該項目
Yahoo Messengger = "%System%\gphone.exe"
(注: %System% 是 Windows system資料夾, 在Windows 98 and ME中通常是C:\Windows\System,在Windows NT and 2000中是 C:\WINNT\System32,或在Windows XP和Server 2003是C:\Windows\System32. %Windows% 是Windows資料夾, 通常是C:\Windows或 C:\WINNT.)
從登入編輯程式刪除其他惡意軟體
1.仍在登入編輯程式中,在左邊的面板,雙擊以下內容:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>WorkgroupCrawler>Shares
2.在右邊的面板中,找到並刪除該項目
shared = "\New Folder.exe"
3.在左邊的面板,雙擊以下內容:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer
4.在右邊的面板中,找到並刪除該項目
NofolderOptions = "1"
還原註冊表項
1.仍在登入編輯程式中,在左邊的面板,雙擊以下內容:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Main
2.在右邊的面板中,找到該項目
Start Page = "http://rnd009.googlepages.com/google.html"
3.右鍵點數值名稱並選擇修改,在此項目中變更您所選擇的數值資料
4.在左邊的面板,雙擊以下內容:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Main
5.在右邊的面板中,找到該項目
Default_Page_URL = "http://rnd009.googlepages.com/google.html"
6.右鍵點數值名稱並選擇修改,在此項目中變更您所選擇的數值資料
7.在右邊的面板中,找到該項目
Default_Search_URL = "http://rnd009.googlepages.com/google.html"
8.右鍵點數值名稱並選擇修改,在此項目中變更您所選擇的數值資料
9.在右邊的面板中,找到該項目
Search Page = "http://rnd009.googlepages.com/google.html"
10.右鍵點數值名稱並選擇修改,在此項目中變更您所選擇的數值資料
11.在右邊的面板中,找到該項目
Start Page = "http://rnd009.googlepages.com/google.html"
12.右鍵點數值名稱並選擇修改,在此項目中變更您所選擇的數值資料
13.在左邊的面板,雙擊以下內容:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
14.在右邊的面板中,找到該項目
Shell = "Explorer.exe gphone.exe"
15.右鍵點數值名稱並選擇修改,在此項目中變更數值資料:
"Explorer.exe"
16.關閉登入編輯程式
刪除惡意軟體建立的Autorun.inf
1.右鍵點選搜尋...或尋找,根據您所使用的Widnows 版本決定
2.在名稱輸入框中,輸入:
Autorun.inf
3.在搜尋結果清單中,選擇磁碟,然後按Enter
4.選擇該檔案,並使用記事本開啟
5.檢查檔案是否存在以下幾行:
[autorun]
Open=gphone.exe
Shellexecute=gphone.exe
Shell\Open\command=gphone.exe
Shell=Open
6.若發現,則刪除該檔案
7.再其它的可攜式磁碟重復3.~6.程序
8.關閉搜尋結果
重要的Windows ME/XP 清除說明
使用Windows ME and XP 系統必須停用系統還原,允許完整掃描受感染的電腦。
使用其它Windows版本可以繼續下列解決方案。
執行趨勢科技防毒
如果您目前在安全模式下執行,請重新啟動電腦在一般模式執行以下的解決方案。
使用趨勢科技防毒軟體掃描您的電腦並刪除被偵測為WORM_SOHANAD.DQ的檔案。為此,趨勢科技的使用者們在掃描電腦前需要下載最新的病毒碼。其他使用者可以使用趨勢科技現上威脅掃描-Housecall。
趨勢科技提供最好的防病毒和內容安全解決方案品質,為您的企業網絡,小型和中小型企業,移動設備或家用電腦上。
技術細節:
細節
這種蠕蟲病毒可能是透過其他惡意軟體從遠端網站下載。它可能透過其他惡意軟體感染。
安裝
這種蠕蟲會複製自己,如下:
%System%\gphone.exe
%Windows%\gphone.exe
(注: %System% 是 Windows system資料夾, 在Windows 98 and ME中通常是C:\Windows\System,在Windows NT and 2000中是 C:\WINNT\System32,或在Windows XP和Server 2003是C:\Windows\System32. %Windows% 是Windows資料夾, 通常是C:\Windows或 C:\WINNT.)
自動啟動技術
這蠕蟲會自己建立以下登入編輯程式項目以便讓它在系統啟動時可以自動執行:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Yahoo Messengger = "%System%\gphone.exe"
它會使用Windows工作排程去創造下列預約工作執行複製
%Windows%\Tasks\At1.job
其他系統的修改
這蠕蟲建立以下登入編輯程式項目來停用任務管理器:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
它也會一併建立以下登入編輯程式項目:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares
shared = "\New Folder.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NofolderOptions = "1"
它修改以下登入編輯程式項目作為其安裝例程:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://rnd009.googlepages.com/google.html"
(注: 上述登入編輯程式項目預設資料數值為使用者定義.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Default_Page_URL = "http://rnd009.googlepages.com/google.html"
(注: 上述登入編輯程式項目預設資料數值為使用者定義.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Default_Search_URL = "http://rnd009.googlepages.com/google.html"
(注: 上述登入編輯程式項目預設資料數值為使用者定義.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Search Page = "http://rnd009.googlepages.com/google.html"
(注: 上述登入編輯程式項目預設資料數值為使用者定義.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Start Page = "http://rnd009.googlepages.com/google.html"
(注: 上述登入編輯程式項目預設資料數值為使用者定義.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\
Winlogon
Shell = "Explorer.exe gphone.exe"
(注: 上述登入編輯程式項目預設資料數值為Explorer.exe)
透過實體和可攜式磁碟傳播
這蠕蟲會複製自己到所有實體和可攜式磁碟。
當裝置存取時它會散播AUTORUN.INF檔案以便自動執行複製。
AUTORUN.INF檔案內容包含以下字串
[autorun]
Open=gphone.exe
Shellexecute=gphone.exe
Shell\Open\command=gphone.exe
Shell=Open
此外,它複製自己散播到可攜式磁碟的每個資料夾,並命名為該資料夾名稱。它使用標準資料夾圖示去欺騙使用者把病毒當作是資料夾。
收影響的平台
這蠕蟲在Windows 98, ME, NT, 2000, XP, and Server 2003上執行.
檢視次數: