如何手動清除WORM_MEYLME.B

Windows ME與XP的使用者，在做任何掃描之前，請確認您已經停用系統還原功能以便做完整的系統掃瞄。

步驟一：確認並關閉偵測為WORM_MEYLME.B的處理程序

注意事項：
a. Windows 98與ME的使用者，工作管理員可能不會顯示所有正在執行的處理程序。因此，請使用其他的處理程序瀏覽程式來關閉惡意程式/灰色程式/間諜程式的處理程序，例如Process Explorer。您可至此處下載該工具
b. 若被偵測到的檔案出現在工作管理員或Process Explorer中，但是您無法關閉它，請重新啟動您的電腦至安全模式。詳細步驟請點選此連結。
c. 若被偵測到的檔案並未出現在工作管理員或Process Explorer中，請繼續執行下一個步驟。

關閉惡意程式/灰色程式/間諜程式的處理程序：

1. 使用趨勢科技產品掃瞄您的電腦並記下被偵測到的惡意程式檔案名稱 。
2. 開啟工作管理員
•Windows 98與ME的使用者，請按
CTRL+ALT+DELETE
•Windows NT、2000、XP與Server 2003的使用者，請按
CTRL+SHIFT+ESC，然後點選處理程序標籤。
3. 在執行程式的清單列表中，找到先前偵測到的惡意程式/灰色程式/間諜程式檔案。
4. 根據您的作業系統版本，按下結束工作或結束處理程序按鈕。
5. 在執行程式的清單列表中，針對其它偵測到的檔案繼續執行相同步驟。
6. 要檢查惡意程式/灰色程式/間諜程式的處理程序是否已經被關閉，請關閉工作管理員後再打開。
7. 關閉工作管理員。

步驟二：刪除登錄值

重要事項：不正確的編輯登錄值動作可能會造成系統無法正常執行，請在您知道如何處理或是詢求您的系統管理員協助的狀況下執行該步驟。或是在修改電腦登錄值前先參考此篇微軟文章。

刪除惡意程式/灰色程式/間諜程式所新增的登錄值：

1. 開啟登錄編輯程式。點選開始 > 執行，輸入REGEDIT，然後按下Enter。
2. 在左邊窗格中點選下列登錄值路徑：
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>policies>
Explorer
3. 在右邊窗格中尋找並刪除下列機碼：
HideSCAHealth = "1"
4. 在左邊窗格中點選下列登錄值路徑：
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>policies>
system
5. 在右邊窗格中尋找並刪除下列機碼：
EnableLUA = "0"
EnableVirtualization = "0"
PromptOnSecureDesktop = "0"
6. 在左邊窗格中點選下列登錄值路徑：
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>lanmanserver>Shares
7. 在右邊窗格中尋找並刪除下列機碼：
updates = "CSCFlags=0MaxUses=100Path=C:\WINDOWS\systemPermissions=0Remark=Public share for update.Type=0"
Close Registry Editor.

步驟三：還原被修改的登錄值

重要事項：不正確的編輯登錄值動作可能會造成系統無法正常執行，請在您知道如何處理或是詢求您的系統管理員協助的狀況下執行該步驟。或是在修改電腦登錄值前先參考此篇微軟文章。

還原惡意程式/灰色程式/間諜程式所修改的登錄值：
1. 開啟登錄編輯程式。點選開始 > 執行，輸入REGEDIT，然後按下Enter。
2. 在左邊窗格中，點選下列登錄值路徑：
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows NT>CurrentVersion>Winlogon
3. 在右邊窗格中尋找下列機碼：
Shell = "Explorer.exe %Windows%\csrss.exe"
4. 右鍵點選該機碼名稱並選擇修改。設定該機碼值為"Explorer.exe "
5. 關閉登錄編輯程式。

步驟四：尋找並刪除這些檔案

注意事項：有些元件可能是隱藏的。點選資料夾選項 > 檢視標籤，請確認您有取消勾選"隱藏保護的作業系統檔案"選項，然後在搜尋的進階選項中勾選"搜尋隱藏檔案與資料夾"以便搜尋結果能包含所有的隱藏檔案和資料夾。

刪除惡意程式/灰色程式/間諜程式的元件檔案：

1. 尋找下列檔案：
%Windows%\csrss.exe
%Windows%\system\updates.exe

注意事項：欲搜尋下列檔案，根據您的系統版本右鍵點選開始 > 尋找或搜尋。在檔案名稱方塊中輸入每個要刪除的檔案名稱，於"尋找在"的下拉式選表選擇我的電腦，並按下Enter。
2. 一但找到該檔案，點選它並按下SHIFT+DELETE便能完全刪除此檔案。
3. 針對所列出來的檔案重複上述步驟。

步驟五：尋找並刪除WORM_MEYLME.B所產生的AUTORUN.INF，檔案內容如下：

[autorun]
open=open.exe
icon=%windir%\system32\shell32.dll,8
action=Open Drive to view files
shell\open=Open
shell\open\command=open.exe
shell\open\default=1

確認並刪除AUTORUN.INF：

1. 右鍵點選開始按鈕並根據您所使用的作業系統版本選擇搜尋或尋找。
2. 在名稱方塊內輸入：AUTORUN.INF
3. 在"尋找在"的下拉式選表中選擇一個磁碟機，然後按下Enter。
4. 選擇該檔案並使用記事本開啟。確認該檔案是否出現下列內容：
[autorun]
open=open.exe
icon=%windir%\system32\shell32.dll,8
action=Open Drive to view files
shell\open=Open
shell\open\command=open.exe
shell\open\default=1
5. 若出現上述內容，請刪除該檔案。
6. 針對其它可攜式磁碟機的AUTORUN.INF重複步驟3至6。
7. 關閉搜尋結果

步驟六：使用您的趨勢科技軟體掃瞄您的電腦並刪除偵測為WORM_MEYLME.B的檔案

注意事項：若偵測的檔案已經被您的趨勢科技產品清除、刪除或隔離，不需要再做其他步驟。您可直接刪除被隔離的檔案。

步驟七：從備份中還原此檔案

注意事項：只有與微軟相關的檔案會被還原，若此惡意程式/灰色程式/間諜程式也刪除了非微軟的檔案，請重新安裝這些程式。

%System%\drivers\etc\hosts

步驟八：從備份中還原此登錄值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv