发现日期:2005 年 8 月 16 日
更新: 2007 年 2 月 13 日 12:41:31 PM
别称: CME-540, Win32/Zotob.E!Worm [Computer A, Bozori.A [F-Secure], Net-Worm.Win32.Bozori.a [Kaspe, W32/IRCbot.worm!MS05-039 [McAf,
W32/Tpbot-A [Sophos], WORM_ZOTOB.E [Trend Micro], W32/Bozori.A [Norman]
类型: 蠕虫
感染长度: 10,366 字节。
受影响的系统: Windows 2000
以下指导适用于所有最新和最近的 Symantec 防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)。
- 禁用系统还原 (Windows Me/XP)。
- 更新病毒定义。
- 运行完整的系统扫描,并删除所有已检测的文件。
- 删除添加到注册表的任何值。
有关每个步骤的详细信息,请参阅以下说明。
1. 禁用系统还原 (Windows Me/XP)
如果正在运行 Windows Me 或 Windows XP,建议您暂时关闭系统还原功能。默认情况下启用此功能,一旦计算机中的文件被破坏,Windows Me/XP 可使用此功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在 System Restore 文件夹中检测到威胁,即使您已清除此威胁。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
注意:当您完全完成杀毒步骤,并确定威胁已清除后,按照上述文档中的指导重新启用系统还原。
有关其它信息,以及禁用 Windows Me 系统还原的其它方法,请参阅 Microsoft 知识库文章:Antivirus Tools Cannot Clean Infected Files in the _Restore Folder(文章 ID:Q263455)。
2. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
- 运行 LiveUpdate,这是获得病毒定义最简便的方法:如果未出现重大的病毒爆发情况,这些病毒定义会在 LiveUpdate 服务器上每周发布一次(一般为星期三)。要确定是否可通过 LiveUpdate 获得用于此威胁的定义,请参阅病毒定义 (LiveUpdate)。
- 使用“智能更新程序”下载病毒定义:智能更新程序病毒定义每天发布一次。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于此威胁的定义,请参阅病毒定义(智能更新程序)。
可由此处获得最新的智能更新程序病毒定义:智能更新程序病毒定义。有关详细说明,请参阅文档:如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
- 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
- 运行完整的系统扫描。
- 如果检测到任何文件,请单击“删除”。
要点: 如果无法启动 Symantec 防病毒产品或该产品报告其无法删除检测到的文件,则需要消除危险停止运行以便将其删除。要完成此操作,请在安全模式下运行扫描。有关说明,请参阅文档: 如何以安全模式启动计算机。以安全模式重新启动后,再次运行扫描。
删除文件后,以正常模式重新启动计算机,然后继续执行下一部分。
计算机重新启动时可能会显示警告消息,因为此时可能尚未完全清除威胁。可以忽略这些消息并单击“确定”。彻底完成清除操作之后,再重新启动计算机时不会出现这些消息。所显示消息可能会类似于以下所示:
标题: [文件路径]
消息正文: Windows 无法找到 [文件名]。请确保键入了正确的名称,然后重试。要搜索文件,请单击“开始”按钮,然后单击“搜索”。
4. 从注册表删除值
要点: Symantec 强烈建议在更改注册表之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的子键。有关说明,请参阅文档:如何备份 Windows 注册表。
- 单击“开始”>“运行”。
- 键入 regedit
- 单击“确定”。
注意: 如果无法打开注册表编辑器,则威胁可能已经修改了注册表以防止进入注册表编辑器。Security 安全响应中心已开发了一种工具以解决此问题。下载并运行此工具,然后继续杀毒。
- 导航到下列子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 在右窗格中,删除值:
" "Wintbp" = "%System%\wintbp.exe"
- 退出注册表编辑器。
本文作者:Maryl Magee
Technorati
Facebook
Google
Digg
Delicious
Reddit
StumbleUpon
Yahoo
Faves
Newsvine