请问已经中了这个病毒，该怎么用ＭＣＡＦＥＥ来拦截？

lxy_lc85

2007 年 4月 19日的早晨，內容安全管理領導廠商卡巴斯基實驗室已經偵測到最新郵件病毒 Warezov 變種 Warezov.nf大量爆發的情形。最嚴重的時候，所有的病毒郵件中 75 - 80% 都是這個新變種的郵件蠕蟲。
這個蠕蟲透過網際網路中受感染的電子郵件進行擴散。這個附件並未帶有蠕蟲本身的程式，但是帶有一個元件能夠下載其他的惡意程式。受感染的郵件將會自動的寄送到受感染電腦中能夠被找到的電子郵件位址。這個蠕蟲也能夠關閉以及刪除防毒軟體。 Warezov.nf 並且能夠自動的由特定的網站下載其他的惡意程式，這些惡意程式將可使得有心人士利用對於受感染的電腦進行遠端存取控制。
在這個爆發的高峰期間， Warezov.nf 使得所有惡意程式的總量增加了將近 10% 。這也意味著幾乎每十封病毒郵件中就有一封是這個新變種的蠕蟲。然而在 4月19日的晚間，Warezov.nf 的總數也開始明顯的下降。
在 19日的早上，收到第一個樣本之後的大約半小時之後，包含能夠偵測和解毒的卡巴斯基防毒資料庫已經緊急的釋出更新。卡巴斯基防毒 6.0 以及卡巴斯基網路安全套裝 6.0 的使用者將能夠在尚未更新之前便可以利用免疫防護功能直接攔截。建議所有的使用者都能夠保持最新的防毒資料庫，並且不要開啟任何來自陌生人士的電子郵件。
這個蠕蟲本身是一個  Windows PE EXE 檔案，利用 UPX 進行封裝。封裝之後的檔案大小可能由 20KB 到 135KB 都有。

接著這個蠕蟲將會複製其本身成為 Windows 系統資料夾中的可執行檔  "hotpmsta.exe”:
%System%\hotpmsta.exe並且建立以下的檔案:
%System%\hotpmsta.dll
%System%\hotpmsta.dat
這個蠕蟲也會建立以下的系統登錄資料:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta]
"DllName" = "%System%\hotpmsta.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

這個附件中包含一個元件能夠透過網路由以下的連結下載其他的惡意程式。
http://linktunhdesa.com/***32.exe而最新的蠕蟲執行檔將會被放置在這個連結中。
下載下來的檔案將會以隨機變化的名稱存放在 Windows 的暫存資料夾下進行執行。



(请问已经中了这个病毒，该怎么用ＭＣＡＦＥＥ来拦截？)

dyzx2008

写到有害程序策略里好了

lxy_lc85

你觉得该怎么写？

lookf

1.禁止任何程序去启动hotpmsta.exe

兄弟这样一条已经够了，如果觉的不放心，可以再加几条天足，也可以的，呵呵，不过没那必要

比如：禁止hotpmsta.exe 去调用system32和system里的*.dl

l

lxy_lc85

谢谢，但楼上的兄台ＨＯＴＰＭＳＴＡ．ＥＸＥ已经给ＭＣＡＦＥＥ杀掉，那么就是说不是由ＨＯＴＰＭＳＴＡ去调用的！其实剩下的两ＨＯＴＰＭＳＴＡ．ＤＡＴ可以通过手工删除，ＨＯＴＰＭＳＴＡ．ＤＬＬ是删不掉的（后来我用ＵＮＬＯＣＫ工具才把删掉．）