2004.1.27 日爆发的新病毒 W32.Novarg@mm(又名:Novarg.A@mm, MyDoom.A, Shimgapi) 近期造成了大规模的破坏,影响范围之广、传播速度之快毫不逊于前段时间臭名昭著的 Sobig.F(大无极) 病毒,目前它还在疯狂的传播中,已经造成了严重的网络阻塞。费尔托斯特安全的病毒码自 v508400(2004.1.29) 版起就可完全清除掉此病毒及相关的主要注册表信息,并且费尔托斯特安全的实时防护功能可以有效防止此病毒附件的保存与执行,如果用户手上有它的正式版可以使用它进行扫描删除,如果当前没有也可以用下面的方法手工清除它:
* 注意:以下方法适用于Windows2000/XP/2003/NT系统,9x/me下可能略有不同,这时可以使用费尔托斯特安全进行清除。
(A) 如何防止感染 W32.Novarg@mm/MyDoom.A/Shimgapi 病毒
此病毒主要是以邮件进行传播的,如果在收取邮件时发现有如下特征的邮件建议立即删除:
邮件主题为下面其中之一:Test, Hi, Hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error
邮件的正文有时为随机乱码数据,有时为下面其中之一:
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
- test
- 空
邮件含有附件,并且附件名为下面其中之一:document, readme, doc, text, file, data, test, message, body,同时附件的扩展名为下面其中之一:zip, bat, cmd, exe, scr, pif
这样基本就可以防止受到此病毒的感染和破坏了。如果系统已经感染或怀疑感染此病毒则可以接着用下面的方法尝试清除它。
(B) 如何手工清除系统中的 W32.Novarg@mm/MyDoom.A/Shimgapi 病毒:
一、请先把系统设置为“显示所有的文件和文件夹”,因为这样防止病毒以隐藏属性伪装,而无法找到它,设置的方法如下(如果系统已经做了此设置可以跳过这一步):
- 打开“我的电脑”;
- 依次打开菜单“工具/文件夹选项”;
- 然后在弹出的“文件夹选项”对话框中切换到“查看”页;
- 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;
- 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;
- 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;
- 最后点击“确定”。
二、打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,进入到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键下,在右边列中,看是否有一个名为“TaskMon”的键值,如果找不到则说明系统中可能没有感染此病毒,可以跳过这一步,不过为了防止万一建议继续执行后面的步骤;如果发现有此值则请双击打开它,查看并记下“数值数据”中指示的文件及路径名,一般为“C:\WINNT\System32\taskmon.exe”(但并不固定,这要根据具体的操作系统类型及安装路径来确定,比如如果当前使用的是Win98系统并且是安装在D盘上则应该为“D:\Windows\System\taskmon.exe”),在记下这个路径后从注册表中删除这个“TaskMon”值;
然后继续用注册表编辑器尝试查找一下 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 键,如果能够找到则把整个 {E6FB5E20-DE35-11CF-9C87-00AA005127ED} 键删除;
三、按“Ctrl+Alt+Del”键弹出任务管理器,查找一下看是否有一个名为“taskmon.exe”的进程,找到后选中它并点击“结束进程”以结束掉病毒进程;
四、打开资源管理器进入到在第二步中记下的路径,找到taskmon.exe和shimgapi.dll文件然后直接删除它们。
至此,如果一切顺利您就应该可以清除掉此病毒了。
|