有点长 你最好耐心看完W32.Downadup.B病毒专杀方法1.禁用系统还原(WindowsMe/XP)如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。Windows禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。注意:当您完全完成杀毒 步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。有关其他信息,以及禁用WindowsMe系统还原的其他方法,请参阅Microsoft知识库文章:病毒防护工具无法清除_Restore文件夹中受感染的文件(文章编号:Q263455)。2.更新病毒定义赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:*运行LiveUpdate,这是获得病毒定义最简便的方法。如果是使用NortonAntiVirus、SymantecAntiVirusCorporateEdition10.0或更新版本的产品,请每天更新一次LiveUpdate病毒定义。这些产品使用了更新的技术。如果使用NortonAntiVirus2005、SymantecAntiVirusCorporateEdition9.0或更早版本的产品,请每周更新一次LiveUpdate病毒定义。出现重大病毒爆发的异常情况时,定义更新会更加频繁。*使用智能更新程序下载病毒定义:智能更新程序病毒定义每天发布一次。您应当从赛门铁克安全响应中心网站下载定义并手动安装它们。最新的IntelligentUpdater病毒定义可由此处获得:IntelligentUpdater(智能更新程序)病毒定义。有关详细说明,请参阅文档:如何使用IntelligentUpdater(智能更新程序)更新病毒定义文件。3.查找并终止服务1.单击“开始”>“运行”。2.键入services.msc,然后单击“确定”。3.查找并选择检测到的服务。4.单击“操作”>“属性”。5.单击“停止”。6.将“启动类型”更改为“手动”。7.单击“确定”,然后关闭“服务”窗口。8.重新启动计算机。4.根据需要,查找并删除任务计划1.单击“开始”>“程序文件”。2.单击>“附件”。3.单击>“系统工具”。4.单击>“任务计划”。5.找到并选择任务计划。6.单击删除此项目7.单击是并关闭“任务计划”窗口。8.重新启动计算机。5.运行全面系统扫描1.启动赛门铁克防病毒程序,并确保已将其配置为扫描所有文件。对于NortonAntiVirus单机版产品:请参阅文档:HowtoconfigureNortonAntiVirustoscanallfiles(如何配置NortonAntiVirus以扫描所有文件)。对于SymantecAntiVirus企业版产品:请参阅文档:HowtoverifythataSymantecCorporateantivirusproductissettoscanallfiles(如何确定赛门铁克企业版防病毒产品是否已设置为扫描所有文件)。2.运行全面系统扫描。3.如果检测到任何受感染文件,请按照防病毒程序所显示的指示操作。重要:如果您无法开始您的Symantec抗病毒产品或产品报道它不可能删除一个检测文件,您可能需要从为了去除它的运行终止风险。要完成此操作,请在安全模式下运行扫描。有关指示,请参阅文档:如何以安全模式启动计算机。以安全模式重新启动后,再次运行扫描。删除文件后,以正常模式重新启动计算机,然后继续执行下一部分。计算机重新启动时可能会显示警告消息,因为此时威胁尚未得到完全清除。可以忽略这些消息并单击“确定”。清除作业彻底完成后,重新启动计算机时这些消息将不再出现。所显示的消息可能如下所示:标题:[文件路径]邮件正文:Windows无法找到[文件名]。请确保键入了正确的名称,然后重试。要搜索文件,请单击“开始”按钮,然后单击“搜索”。6.从注册表中删除值切记:赛门铁克强烈建议在对注册表进行任何更改之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的子项。有关说明,请参阅文档:如何备份Windows注册表。1.单击“开始”>“运行”。2.键入regedit,3.然后单击“确定”。注意:如果无法打开注册表编辑器,则威胁可能已经修改了注册表以防止进入注册表编辑器。安全响应中心已开发了一种工具以解决此问题。下载并运行此工具,然后继续杀毒。4.导航至下列注册表项并将其删除:*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos"*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]"*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Type"="4"*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Start"="4"*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"ErrorControl"="4"*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"5.根据需要,将下列注册表项恢复到其以前的值:*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections"="00FFFFFE"*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"6.退出注册表编辑器。注意:如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有HKEY_CURRENT_USER项
