刚才诺顿检测出中了WINSPL。DLL病毒即:Downloader.Trojan
造成无法上网,还好有系统备份~~请各位同学注意了~~
Downloader.Trojan 是從遠端 Internet 網站下載惡意程式,並於本機系統上執行的程式。
也稱做: TrojanDownloader.Win32.GetFiles [KAV], TrojanDownloader.Win32/Erom [RAV], Downloader.w [DRS]
類型: Trojan Horse
感染長度: varies
受影響的系統: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影響的系統: Macintosh, OS/2, UNIX, Linux
病毒定義檔 (Intelligent Updater) *
2002.04.05
病毒定義檔 (LiveUpdate™) **
2002.04.10
*
智慧更新程式 (Intelligent Updater) 的病毒定義檔每天都會更新,但是您需要手動下載與安裝。
請按這裡來手動下載。
**
LiveUpdate 病毒定義檔通常是每星期三會發佈。
關於使用 LiveUpdate 的指示,請按這裡。
兇猛
感染數量: 0 - 49
站台數量: 0 - 2
地理區域分佈: 低
威脅控制: 簡單
移除能力: 簡單
威脅方式
兇猛 :
低
損害:
低
散佈:
低
各種不同的病蟲和後門特洛伊木馬都是利用 Downloader.Trojan,透過 Internet 自行擴散。 因此,Downloader.Trojan 會存取各種不同的網站並進行下載。部分網站和下載的特洛伊木馬包括:網站:www.alibabanet.net特洛伊木馬: Backdoor.IRC.Aladinz網站: www.starsea.as.ro特洛伊木馬:IRC.Momma.Worm網站:www.kamerali.com特洛伊木馬:W32.Ronoper.Worm
「賽門鐵克安全機制應變中心」建議所有的使用者與管理員遵照下列基本的安全手則「最佳範例」執行管理:
關閉並移除不必要的服務。很多作業系統會預設安裝非必要的附屬服務項目,例如 FTP 用戶端、telnet 以及 Web 伺服器。這些服務等於提供了病毒攻擊的目標。當這些服務移除之後,混合型威脅就比較不容易找到下手的目標,同時您在進行系統的修補更新時也不需要維護很多的服務。
如果混合型威脅偵測到一個以上的網路服務,在執行修補程式之前請先關閉或封鎖存取這些服務。
永遠保持您的修補程式在最新的狀態,特別是針對那些代管公共服務以及可以透過防火牆存取的服務主機,例如 HTTP、FTP、郵件以及 DNS 服務。
強制施行密碼原則。在遭到破壞的電腦上,複雜的密碼機制將使駭客更難解開受密碼保護的檔案。這樣一來,當電腦遭受破壞時,可以有效降低資料的損害程度。
請將您的郵件伺服器設定為封鎖或移除所有內含.vbs、.bat、.exe、.pif 與 .scr 等副檔名之附件的郵件。
接著將這些受感染的電腦快速隔離到網路外,以避免危害整個公司的運作。這時候請仔細檢查這些受感染的電腦,並使用可信賴的媒體來還原至可用狀態。
訓練員工不要開啟含有上述副檔名的郵件,除非已事先知情這些郵件內容。同時,不要執行從 Internet 上下載的軟體,除非他們已經掃毒過。當您造訪一個受感染的網站時,如果您的瀏覽器未安裝好弱點修補程式的話,您的電腦很容易就會受到感染。
除了可以使用移除工具外,您還可以手動移除病蟲。下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫,包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線:
關閉「系統還原」(Windows Me/XP)。
更新病毒定義檔。
將電腦重新啟動在安全模式或是 VGA 模式。
執行完整的系統掃描,刪除所有偵測到的 Downloader.Trojan 檔案。
刪除新增至登錄裡的值。
如需關於這些步驟的詳細資訊,請閱讀下列指示。
關閉「系統還原」(Windows Me/XP)
如果您使用的是 Windows Me 或 Windows XP,我們建議您暫時關閉「系統還原」。Windows Me/XP 使用這個預設啟用的功能,來還原您電腦上受損的檔案。如果病毒、病蟲或特洛伊木馬感染的電腦,「系統還原」可能會一併將電腦上的病毒、病蟲或特洛伊木馬備份起來。
Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此,防毒程式或是工具並無法移除「系統還原」資料夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,「系統還原」還是很有可能會將受感染的檔案一併還原至電腦中。
同時,病毒可能會偵測到「系統還原」資料夾裡的威脅,即使您已移除該威脅亦然。
有關如何關閉「系統還原」的說明,請閱讀您的 Windows 文件,或下列文章:
如何關閉或啟用 Windows Me「系統還原」
如何關閉或啟用 Windows XP「系統還原」
--------------------------------------------------------------------------------
注意:當您全部完成了移除程序之後,並且確定威脅已經移除,您應該依循上述文件中的指示重新啟用「系統還原」。
--------------------------------------------------------------------------------
如需其它資訊以及關閉 Windows Me「系統還原」的其它方法,請參閱 Microsoft 知識庫的文章「 防毒工具無法清除 _Restore 資料夾中受感染的檔案 」,文章識別碼 (Article ID):Q263455。
更新病毒定義檔
所有的病毒定義檔在公佈到伺服器之前都經過賽門鐵克安全機制應變中心的嚴格檢測。您可以使用下列兩種方式來取得最新的病毒定義檔:
執行 LiveUpdate 是獲得病毒定義檔的最簡單方法。這些病毒定義檔會每星期一次更新到 LiveUpdate 伺服器上 (通常是星期三),當有疫情發生時則例外。若想知道 LiveUpdate 是否已有此威脅的定義檔,請查看本報導上方的「病毒定義檔 (LiveUpdate)」。
使用 Intelligent Updater 下載定義檔。Intelligent Updater 的病毒定義檔會在美國的工作日 (星期一到星期五) 公佈。使用者必須由「賽門鐵克安全機制應變中心」網站手動下載及安裝。若想知道 Intelligent Updater 是否已有此威脅的定義檔,請查看本報導上方的「病毒定義檔 (Intelligent Updater)」。
您可在此處取得 Intelligent Updater 病毒定義檔(英文)。如需關於如何從「賽門鐵克安全機制應變中心」網站下載及安裝 Intelligent Updater 病毒定義檔的詳細資訊,請閱讀「如何使用 Intelligent Updater 來更新病毒定義檔」。
重新啟動電腦至安全模式或 VGA 模式
將電腦関機。等待至少 30 秒鐘,然後重新啓動電腦至安全模式或模式。
Windows 95/98/Me/2000/XP 用戶,將電腦重新啟動在安全模式。Windows NT 以外的所有 Windows 32 位元作業系統都可以重新啟動在安全模式。如需執行此程序的指示,請參閱「如何將電腦重新啟動在安全模式」文件。
Windows NT 4 用戶,重啓電腦至 VGA 模式。
掃描並刪除受感染的檔案
啟動您的賽門鐵克防毒程式,確定已架構為掃描所有檔案。
Norton AntiVirus 消費者產品:請閱讀「如何設定 Norton AntiVirus 以掃描所有檔案」文章。
賽門鐵克企業版防毒產品:請閱讀「如何確認 Symantec Corporate AntiVirus 產品已設定為掃瞄所有檔案」文章。
執行完整系統掃描。
如果偵測到任何受 Downloader.Trojan 感染的檔案,請按下「刪除」。
從登錄中刪除值
--------------------------------------------------------------------------------
警告:對系統登錄進行任何修改之前,賽門鐵克強烈建議您最好先替登錄進行一次備份。對登錄的修改如果有任何差錯,嚴重時將會導致資料遺失或檔案受損。只修改指定的登錄鍵。如需詳細指示,請閱讀「如何備份 Windows 登錄」文件。
--------------------------------------------------------------------------------
按下「開始」,然後按下「執行」。(畫面上便會出現「執行」對話方塊。)
輸入 regedit 然後按下「確定」。(「登錄編輯器」會開啟。)
瀏覽到每一個登錄鍵:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
在右窗格中,刪除每一個登錄鍵中,參照偵測到 Downloader.Trojan 的任何檔案的值。
結束並離開「登錄編輯器」。
