sasser【スタコラサッサ】sasser　Part２

■sasser を手動で“駆除”および“駆除”されたことを確認する方法
０．ネットワークから物理的に離脱する（ケーブルを抜く、モデムの電源OFF）
１．タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
２．レジストリで、
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　で　"avserve*.exe" = "C:\WINDOWS\avserve*.exe"　　（*：なし、または数字）
　　　　"skynetave.exe" = "C:\WINDOWS\skynetave.exe"　（Windows2000：WINNT）
　　の削除、または無いことを確認
３．%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
　　（%SystemRoot%：Windows, または WINNT）（*：なし、または数字）
４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
５．システムドライブ（ふつう C ドライブ）のルート（直下）の "win*.log" の削除、
　　または無いことを確認　　（このログは sasser の他への攻撃履歴が記録されている）
６．Windows を再起動

■　Windowsアップデート後、Microsoft純正Sasserツールで駆除
　　 http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
　使い方　http://support.microsoft.com/?kbid=841720
・手動：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して
　実行→regedit→以下の項目を削除
　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe）
　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
　さらにウィルスとして発見されたファイルがあれば削除