手工徹底刪除 W32.Novarg@mm(Novarg.A/MyDoom.A/Shimgapi) 病毒的方法
作者:費爾安全實驗室(原創), 日期:2004/1/30. 若轉載請註明引自"費爾安全實驗室"

2004.1.27 日爆發的新病毒 W32.Novarg@mm(又名:Novarg.A@mm, MyDoom.A, Shimgapi) 近期造成了大規模的破壞,影響範圍之廣、傳播速度之快毫不遜於前段時間臭名昭著的 Sobig.F(大無極) 病毒,目前它還在瘋狂的傳播中,已經造成了嚴重的網路阻塞。費爾托斯特安全的病毒碼自 v508400(2004.1.29) 版起就可完全刪除掉此病毒及相關的主要註冊表資訊,並且費爾托斯特安全的即時防護功能可以有效防止此病毒附加檔案的儲存與執行,如果使用者手上有它的正式版可以使用它進行掃瞄刪除,如果目前沒有也可以用下方的方法手工刪除它:

* 注意:以下方法適用於Windows2000/XP/2003/NT系統,9x/me下可能略有不同,這時可以使用費爾托斯特安全進行刪除。

(A) 如何防止感染 W32.Novarg@mm/MyDoom.A/Shimgapi 病毒

此病毒主要是以郵件進行傳播的,如果在收取郵件時發現有如下特徵的郵件建議立即刪除:
  • 郵件主旨為下方其中之一:Test, Hi, Hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error
  • 郵件的正文有時為隨機亂碼數據,有時為下方其中之一:
    1. The message contains Unicode characters and has been sent as a binary attachment.
    2. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    3. Mail transaction failed. Partial message is available.
    4. test
  • 郵件含有附加檔案,並且附加檔案名為下方其中之一:document, readme, doc, text, file, data, test, message, body,同時附加檔案的副檔名為下方其中之一:zip, bat, cmd, exe, scr, pif
  • 這樣基本就可以防止受到此病毒的感染和破壞了。如果系統已經感染或懷疑感染此病毒則可以接著用下方的方法嘗試刪除它。

    (B) 如何手工刪除系統中的 W32.Novarg@mm/MyDoom.A/Shimgapi 病毒:

    一、請先把系統設定為「顯示所有的檔案和資料夾」,因為這樣防止病毒以隱藏內容偽裝,而無法找到它,設定的方法如下(如果系統已經做了此設定可以跳過這一步):

    1. 開啟「我的電腦」;
    2. 依次開啟菜單「工具/資料夾選項」;
    3. 然後在彈出的「資料夾選項」對話框中切換到「檢視」頁;
    4. 解除「隱藏受保護的作業系統檔案(推薦)」前面的對鉤,讓它變為不選狀態;
    5. 在下方的「進階設定」清單框中改變「不顯示隱藏的檔案和資料夾」選項為「顯示所有檔案和資料夾」選項;
    6. 解除「隱藏已知檔案類型的副檔名」前面的對鉤,也讓它變為不選狀態;
    7. 最後點選「確定」。

    二、開啟「開始/執行」,輸入「regedit」後「確定」以開啟註冊表編輯器,進入到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 鍵下,在右邊列中,看是否有一個名為「TaskMon」的鍵值,如果找不到則說明系統中可能沒有感染此病毒,可以跳過這一步,不過為了防止萬一建議繼續執行後面的步驟;如果發現有此值則請按兩下開啟它,檢視並記下「數值數據」中指示的檔案及路徑名,一般為「C:\WINNT\System32\taskmon.exe」(但並不固定,這要根據具體的作業系統類型及安裝路徑來確定,比如如果目前使用的是Win98系統並且是安裝在D盤上則應該為「D:\Windows\System\taskmon.exe」),在記下這個路徑後從註冊表中刪除這個「TaskMon」值;

    然後繼續用註冊表編輯器嘗試查找一下 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 鍵,如果能夠找到則把整個 {E6FB5E20-DE35-11CF-9C87-00AA005127ED} 鍵刪除;

    三、按「Ctrl+Alt+Del」鍵彈出排定的工作,查找一下看是否有一個名為「taskmon.exe」的行程,找到後選擇它並點選「結束行程」以結束掉病毒行程;

    四、開啟資源管理員進入到在第二步中記下的路徑,找到taskmon.exe和shimgapi.dll檔案然後直接刪除它們。

    至此,如果一切順利您就應該可以刪除掉此病毒了。

    * 作者:費爾安全實驗室(原創), 日期:2004/1/30. 若轉載請註明引自"費爾安全實驗室" *