2008/12/08 本文件將說明以下內容 : 1. 使用 Kaspersky Virus Removal Tool 移除病毒 2. 手動下載最新病毒碼並更新 Kaspersky 防毒軟體 適用時機 : 1. Kaspersky 無法正確開啟, 經重新安裝仍然無法解決 2. 懷疑系統中感染新型病毒, 且病毒會自動將 Kaspersky 防毒程式封鎖或關閉 3. 網路異常或無網路可用, 以至無法進線上更新 ( 但需先利用其它方式下載最新版檔案 ) 事前準備 1. 下載 Kaspersky 最新病毒碼 A. 下載至上週日為止之所有病毒碼 : ftp://ftp.downloads1.kaspersky-labs.com/zips/av-i386&ids-cumul.zip B. 下載自上週日至今天為止之病毒碼 : ftp://ftp.downloads1.kaspersky-labs.com/zips/av-i386&ids-daily.zip 2. 下載 Kaspereky Virus Removal Tool A. 下載包含最新病毒碼之病毒移除工具 : http://downloads1.kaspersky-labs.com/devbuilds/avptool/ B. 此工具會隨時更新, 也就是當 kaspersky 有新病毒碼產生時會同時更新網址中下載的移除工具安裝檔, 因此建議要使用前再去下載, 不要使用別人 幾天前下載的程式 C. 下載後檔名為 setup_ 主程式版本 _ 病毒碼日期 _ 病毒碼時間.exe, setup_7.0.0.290_06.12.2008_08-36.exe 就是內含 2008 年 12 月 6 日 8:36 分發佈病毒碼的移除工具 3. 下載修復工具 A. 下載 http://icst.fcu.edu.tw/download/fix-fieo-hosts.exe B. 可修復惡意程式修改登錄機碼透過 File Image Execute Option 封鎖防毒軟體及修改 逢甲大學資訊處文件頁 1
hosts 檔的問題 4. 關閉自動播放功能 : A. 這一步可省略, 其用意在關閉自動播放功能後, 就算插入有病毒的隨身碟, 系統也不會自動將病毒啟動, 降低被 USB 隨身碟病毒感染的機會 但放入光碟片後會自動開啟光碟內容的功能也同時被關閉, 請自行決定是否需要關閉此功能 B. 按 開始 執行, 在 開啟 (O): 後的框框輸入 gpedit.msc, 再按 確定 C. 系統會跳出一 群組原則 的視窗, 依下圖說明依序點選 電腦設定 系統管理範本 系統, 再在 關閉自動撥放 上按兩下滑鼠左鍵 逢甲大學資訊處文件頁 2
D. 在 關閉自動撥放內容 的視窗中點選 已設定, 並在 停用自動撥放在 : 中選擇 所 有磁碟機, 按 確定 離開並關閉 群組原擇 視窗 5. 拔掉網路線 A. 全部工具下載完成後將網路線拔掉, 避免解讀過程中再次被入侵 清除病毒 1. 進入安全模式 : 1. 將電腦開機或重開機, 在出現下圖的畫面前按下鍵盤 F8 數次, 若成功會跳出下一步的畫 面, 若已出現下圖的 Windows 畫面表示已錯過時機, 請重新開機再試一次 逢甲大學資訊處文件頁 3
2. 在上一步按 F8 後會出現如下圖的畫面, 請選擇 安全模式 3. 若是跳出選擇作業系統畫面, 則選擇您所需要處理的作業系統按下 ENTER 即可 逢甲大學資訊處文件頁 4
4. 帳戶選擇平常登入的使用者即可 ( 但請確認為管理員群組權限 ) 5. 進入視窗後的提示訊息, 請按下 是 (Y) 2. 關閉系統還原功能 : A. 點選 開始, 在 我的電腦 上按滑鼠右鍵, 選擇 內容 ( 或於 控制台 中選擇 系 統 ) 逢甲大學資訊處文件頁 5
B. 在 系統內容 的視窗中選擇 系統還原, 並將 關閉系統還原 打勾, 選擇 確定 C. 若出現下圖畫面請選擇 是 (Y) 3. 安裝並執行病毒移除工具 A. 開啟由 http://downloads1.kaspersky-labs.com/devbuilds/avptool/ 下載的 setup 程式 B. Kaspersky Virus Removal Tool 是 Kaspersky 每天均會更新的掃毒程式, 下載安裝後即含有當時最新的病毒碼, 但不具有更新功能, 因次建議要使用時再下載當時最新版本即可 另本程式不具有即時防護功能, 因此病毒移除後仍需安裝具即時病毒防護之防毒軟體, 並每日更新病毒碼 逢甲大學資訊處文件頁 6
C. 出現下圖時點選 執行 按 Next 繼續 按 Next 繼續 逢甲大學資訊處文件頁 7
D. 安裝完成後會自動帶出病毒移除工具的視窗, 請依下圖方式, 先勾選圖左的所有掃瞄目 標, 再按 Scan 進行掃毒 E. 若發現病毒, 選擇 delete 將病毒刪除, 或先點選 Apply to all 後再按 delete 將所 以發現病毒刪除 逢甲大學資訊處文件頁 8
F. 掃毒完成後將病毒移除工具關閉, 會出現提示是否將病毒移除工具移除, 建議均選 Yes 即 可, 移除完成後系統會自動重開機 G. 重開機後部份電腦的防毒軟體可能還是無法正常起動, 請執行事前準備第 3 步下載的修復工具, 執行完後再執行防毒軟體或重新開機, 防毒軟體即可正常啟動 手動更新 Kaspersky 病毒碼 1. 以下更新方式參考自 http://www.kaspersky.com.tw/kl-downloads/kavperantivirusdownloads_7.htm, 可適用校園防毒軟體之 Kaspersky 企業版 6.0 2. 將本篇說明 事前準備 部份下載之 av-i386&ids-cumul.zip 及 av-i386&ids-daily.zip 解壓縮至各別資料夾 3. 開啟 Kaspersky 程序, 並點選右上角的 設定 逢甲大學資訊處文件頁 9
4. 進入設定視窗後, 點選 服務 更新, 再點選畫面右邊的設定 5. 點選 更新來源, 再點選 加入 逢甲大學資訊處文件頁 10
6. 選擇在第 2 步解開 av-i386&ids-cumul.zip 的資料夾, 按 確定 離開 7. 取消 卡巴斯基管理工具 及 卡巴斯基實驗室更新伺服器, 按 確定 確定 離開 逢甲大學資訊處文件頁 11
8. 回到 Kaspersky 主程式畫面後, 依下圖說明點選 服務 更新, 再點選 立即更新 9. 更新計進行中, 可以看到目前更新來源已指向硬碟中存放病毒碼的目錄 逢甲大學資訊處文件頁 12
10. 更新完成, 按關閉離開 11. 重覆第 3,4 步驟, 依下圖步驟將剛才新增的病毒碼來源刪除, 並再新增一更新來源 : 逢甲大學資訊處文件頁 13
12. 這次選擇 av-i386&ids-daily.zip 的解壓縮目錄, 同樣按 確定 確定 確定 後回主畫面, 再 依第 8 步同樣方法進行更新 13. 更新完成後再回到設定 更新來源 的設定畫面, 將剛才新增的更新來源刪除, 並將 卡巴斯 基管理工具 及 卡巴斯基實驗室更新伺服器 兩項打勾, 完成後應像下圖一樣的設定, 按 確 定 確定 離開 14. 手動更新完成, 可將 av-i386&ids-cumul.zip 及 av-i386&ids-daily.zip 兩個檔案及解壓縮資料夾刪 除, 最後將網路線接回即可 逢甲大學資訊處文件頁 14