W32.Klez.H@mm的
病毒的處理方式如下:
(1) 在DOS 模式下, 輸入fixklez /slient 或 /S : 在背景執行, 且為無回應方法執行, 此一功能可適用於以logon
scrīpts(登入指令檔), 最適合在企業
網路中在短時間內對大量機器進行偵測病毒功能
(2)輸入 fixklez /START : 立即掃瞄, 不出現GUI(使用者介面), 且同為無回應方式執行
(3)直接輸入fixklez, 則您可以看到詳細的圖形使用者介面, 您可以直接按下Start 選擇掃瞄
執行fixklez 完成後, 請移除您的防毒
軟體(因為部份檔案可能已經中毒), 在移除時請務必連同liveupdate 也要一併移除, 若移除過程中有發生無法正常移除情況, 請參考下列網址, 以手動方法將Symantec 防毒軟體移除:
NAVCE 7.x 95/98/me
http://service4.symantec.com/SUP ... cs/1999111609485148NAVCE 7.x NT/2000/XP
http://service4.symantec.com/SUP ... cs/2000120111571948NAV 2000/2001/2002
http://service2.symantec.com/SUP ... cs/2001092114452606移除完成後, 再重新安裝Symantec 防毒軟體, 並立即更新病毒定義檔至最新版本
四、 若上述過程中出現無法正常執行移除或安裝防毒軟體之時, 很有可能是在執行上述清毒過程中失敗, 請重新再執行一次修復工具(fixklez), 然後開始進行手動清除病毒動作, 請參考下述步驟:
(1) 80%以上的機率, 在中毒的機器上, 都會找到 winkxxxxxx-亂數 或 wqk 的 service 正在執行, 在NT/2000/XP上, 建議最好是以系統管理者 administrator 身分進安全模式, 然後測試是否可以直接停用該service, 如果不行, 請將administrator的權利指派給這兩個病毒入侵之後所產生的service, 便可以將其停用, 但是如果在95/98 時, 有很多的情況是在工作管理員裏找不到這個執行程序, 如果是如此的話, 請跳過這個部份, 直接進行下一個步驟
(2) 在NT/2000/XP上, 將service 停用之後, 才能將感染植入的registry key 刪除, 在"開始功能表"/"執行", 輸入
regedt32(登錄編輯程式), 輸入winkxxxxx(亂數), 或wqk 的值去尋找, 找到的機碼全數將其刪除, 請注意在
HKLM\SYSTEM\ControlSet001\Enum\Root 下的請務必要將其刪除,
註:在95/98上, 請刪除HKLM\System\CurrentControlSet\Services下找到的相關機碼
(3) 刪除機碼之後, 就可以開始刪除帶毒檔案, 您可以在 c:\windows 目錄(
Windows或Winnt)\(system 或
system32)\ 下, 找到上述的winkxxxxx(亂數).exe 或wqk.exe 的檔案, 然後將之刪除
(4) 清除資源回收筒
總之, 徹底刪除病毒植入的檔案和機碼之後, 移除重新安裝防毒軟體的步驟執行才會正常, 如此, 防毒軟體最重要的自動防護功能才會恢復正常執行, 接下來更新病毒定義檔之後, 也才能確定能夠有效攔阻Klez.H
在防毒軟體重新安裝完成之後, 強烈建議對系統中所有檔案進行完整手動掃瞄, 若有發現Klez.H 檔案一律將其刪除, 若有系統依然不正常的情況, 代表有部份的系統檔無法修復, 建議備份重要資料, 然後重新安裝
作業系統為宜
在防毒軟體的問題處理完成之後, 為了避免再次發生中毒情況, 強烈建議您將IE(Internet Explorer) 升級到最新的6.0 版,因為在升級之後, 收信軟體的安全漏洞才會被修復, 也才不會發生一啟動收信軟體, 僅在預覽階段就中毒的情況(新版的IE已經修正此一問題)
如果您的郵件伺服器所安裝的防毒軟體, 有過濾郵件內容附件的功能, 強烈建議您在此一功能上設定掃瞄阻擋可能夾帶病毒的附件檔進入您的網路系統, 相關資訊可參考網址:
http://www.sarc.com/avcenter/venc/data/w32.klez.h@mm.html請依照其中有關於e-mail 的章節部份, 對可疑夾帶病毒的附件, 做阻擋的動作
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
W32.Klez.H@mm是W32.Klez.E@mm 的新變種。W32.Klez.E@mm於今年1月已被發現,並陸續出現多隻變種。由於這隻新變 種病蟲W32.Klez.H@mm會出現不固定主旨及附件,使電腦用戶防不勝防,造成
全球感染 人數增多,賽門鐵克已將這隻變種病蟲W32.Klez.H@mm的威脅程度由2級升為3級(病毒 威脅程度共有5級)。目前
台灣已有災情傳出。
值得注意的是,感染這隻變種病蟲W32.Klez.H@mm後,它會移除防毒軟體的開機登錄機 碼(startup registry keys),並刪除電腦系統裏的檔案,使防毒軟體的自動防護功能不能正 常運作。也因為這隻變種病蟲具有破壞防毒軟體的特性,賽門鐵克建議電腦用戶如果感 染這隻變種病蟲後,必須重新安裝防毒軟體,使防毒軟體能重新正常運作,以免即使之 前已安裝了防毒軟體,但是電腦日後還是呈現『無防毒』狀態。
這隻變種病蟲W32.Klez.H@mm正透過電子郵件與電腦上的網路芳鄰在全球各地擴散。 賽門鐵克呼籲電腦用戶趕緊下載4月17日的病毒定義檔,及不要開啟來歷不明郵件。
變種病蟲名稱:W32.Klez.H@mm
危險指數:3級
感染途徑:自動搜尋Windows, ICQ 的
通訊錄後自行寄出電子郵件,及透過電腦上的網 路芳鄰感染。
郵件主旨:不固定
郵件附件:不固定
郵件內容:不固定