台大電機系計算機中心


 
 

徹底移除 Virus: msblaster.d worm

近日病毒猖狂,台大計中為了防止中毒主機對外擴大感染,對於中毒主機的 IP 加以限制, 因此中毒主機將無法正常上網。如欲解除此限制,請參照本文件所列的步驟,移除該病毒。

注意! 進行病毒移除動作時,除了進行機器作業系統 Windows Update 動作外, 其他的過程中請勿讓機器透過任何方式上網 (如透過 IP 分享器、NAT 主機、或是改用其他 IP) 以免造成其他正常的 IP 亦被台大計中限制使用。

    1. 請找一台可正常上網的機器連至 http://cert.ntu.edu.tw/ip.php, 輸入您的 IP 位址查詢您的主機是否因為中毒而被限制 IP 使用。若您的 IP 被限制使用,出現的訊息如下:
      目前違規紀綠如下:
      記錄時間 單 位 違規 IP 違規原因
      2003-11-25 電機工程學系 140.112.18.XX Virus:msblaster.d worm
    2. 若確定中毒,請到「文件/病毒解毒工作下載」區下載 FixWelch.exe 解毒程式。
      注意! 請使用其他可以正常上網的機器下載,拷備到磁片或是隨身碟後,再拿到中毒機器上使用。
    3. 執行 FixWelch.exe。這支程式會先把正在系統上執行的病毒清除,然後開始對所有的磁碟機進行掃描。如果您沒有時間等待完整掃描, 在掃毒程式執行幾分鐘後,可以按「cancel」將其取消。取消之後,該程式會將目前掃到的結果做個簡單的回報,如下圖所示:

      <<沒有中毒的訊息>>
      若有中毒,則會出現一簡單的統計,標明有幾個程式因中毒而被移除等訊息(歡迎有中毒且嘗試解毒的使用者提供範例畫面)。
    4. 將病毒移除後,下一步是到 Windows Update 更新您的作業系統。 連上 Windows Update 後,點選執行「掃描更新項目」,如果「重大更新」項目不為 0,請選擇「檢閱並安裝更新」,安裝所有的重大更新。 通常安裝完成後,需要重新開機。重開機後請再重覆執行此步驟,直到「重大更新」的項目為 0 為止。
    5. 所有的更新都完成後,請再次執行病毒清除程式 FixWelch.exe,確定在更新的過程中沒有再次中毒。
    6. 上述動作完成後,請儘量透過 e-mail 與系計中網管連絡。 如果您是學生、職員、助教、助理、或是實驗室的網路/電腦管理人員,請告知我們您的身份、姓名、該 IP 所在實驗室位置、以及實驗室的指導老師; 如果您是老師,請告知我們您的身份、姓名、以及該 IP 所在辦公室。我們會在收到您的 e-mail 後儘快通知台大計中該 IP 病毒已清除。 通報台大計中後約半天到一天的工作天即可解除 IP 的使用限制。

注意! 電腦若只是重灌和安裝掃毒軟體是沒有用的! 一定要上 Windows Update 更新作業系統才行。台大計中的政策是第一次發現 IP 中毒,待收到解毒完成訊息後,即取消使用限制。但若是第二次再度發現同一 IP 中毒,則收到解毒通知後要等 7 天才會取消。 所以請大家配合徹底執行上述解毒工作。

警告! 如果您的電腦中毒,請勿隨意改用其他非屬於您的 IP 上網,如此可能波及其他無辜的使用者,妨害他人正常使用。 若經其他使用者通報發現此狀況,罰則比照 IP 衝突,但解除使用限制期限延長為 14 天。


辦公室 : 電機二館 114 室 / 電話 : (02)3366-3700 分機 114
Last update: Dec 8, 2017