Google 重新導向、TDSS、TDL3 或 Alureon 卸載指南

目錄：

1. 快速說明病毒是什麼，以及保固下可能提供的支援
2. 使用 TDSSKiller 卸下 TDSS、Alureon 或 TDL3 Rootkit 的指示
3. 相關的 TDSS、Alureon 或 TDL3 Rootkit 檔案
4. 相關的 TDSS、Alureon 或 TDL3 Rootkit Windows 登錄資訊

快速說明病毒是什麼，以及保固下可能提供的支援

TDSS 或 TDL3 是 Windows 作業系統的 rootkits 系列名稱。它會在電腦上下載並啟動其他惡意軟體，並提供廣告給您的電腦，同時封鎖某些程式的執行。它會以多種方式感染您的電腦，例如以惡意版本更換硬碟驅動程式。一旦電腦受到感染，Windows 和任何防惡意軟體程式都看不到 TDSS。它會持續下載和執行進一步的惡意程式碼，並提供更多廣告給您的電腦。這些感染是根據您使用的特定防病毒廠商，以各種名稱偵測到。

有一些症狀表示 TDSS 感染可能會顯示您應該注意：

• 搜尋結果 - 連結會重新導向至無關的網站。當您按一下其中一個搜尋結果時，它會重新導向至廣告。

• 無法執行各種程式 - 某些程式根本無法啟動。TDSS 的組態設定稱為 「不允許」 ，其中包含不允許啟動的大型程式清單。如此可讓您無法啟動防毒和防惡意軟體程式，以協助您移除此感染。
• 各種網站存取遭封鎖 - TDSS 會封鎖存取下載頁面、論壇和電腦說明和安全月臺的許可權。
• 網頁流覽速度比一般慢 ：網頁載入速度較慢。

解決此問題的最正確方法，就是在電腦上執行原廠還原或清潔作業系統安裝。帶您瞭解我們的專業支援保固涵蓋範圍。您也可以在下方的連結頁面找到帶您流覽文章：

• 重新安裝或還原 Dell 電腦作業系統的線上指南

如您所見，TDSS rootkit 是一種侵入性感染，會接管您的機器，而且很難移除。

Kasper Labs 已發佈名為 TDSSKiller 的工具，可用來從電腦移除大部分類型的 TDSS。還有其他程式可以做同樣的事。您可以使用不同的程式。不過，此軟體是免費的，也是我最熟悉的軟體。

我已準備下方的操作指南，說明如何移除病毒，但還缺少完整作業系統重新安裝。但是，本服務並不涵蓋在您的保固範圍之內，且風險由您自行承擔。

使用 TDSSKiller 卸下 TDSS、Alureon 或 TDL3 Rootkit 的指示

1. 首先，您必須從下列連結下載 TDSSKiller，並將其儲存至您的桌面。

   • TDSSKiller 下載連結 

2. 當您前往上述頁面時，請按一下 TDSSKiller.exe 連結以下載檔案。如果您無法下載檔案，則 TDSS 可能會封鎖該檔案。您必須先將其下載到乾淨的電腦，然後使用 CD、DVD、外接式磁片磁碟機或 USB 快閃磁片磁碟機將其傳輸至受感染的電腦。檔案完成傳輸後，您現在應該在桌面上有 TDSSKiller 圖示。

（圖.1 TDSSKiller 圖示）

3. 第一次執行 TDSSKiller 之前，您必須重新命名。在您的桌面上以滑鼠右鍵按一下 TDSSKiller.exe 圖示，然後選取 「Rename」。將檔案名稱編輯為隨附 .com 副檔名的隨機名稱。

   例如：123.com 或 abc.com如果隨機名稱無法運作，請嘗試將其重新命名為 類似 iexplore.com ，然後再執行一次。

4. 連按兩下即可啟動。當您執行此程式時，Windows 可能會在螢幕上顯示警告訊息。

（圖.2 執行視窗）

5. 如果您收到此警告，請按一下 「Run 」按鈕以允許程式執行。如果您沒有看到警告，則 TDSSKiller 應該已經啟動。如果是，請前往 步驟 10。

6. TDSSKiller 隨即啟動並顯示歡迎畫面。

（圖.3 開始掃描）

7. 按一下 「開始」掃描 按鈕，讓它掃描您的電腦以進行感染。

8. 掃描完成後，會顯示結果畫面，說明是否在電腦上發現感染。它會顯示畫面，並列出其找到的內容。

（圖.4 正在執行掃描）

9. 若要移除感染，只需按一下「Continue」按鈕，TDSSKiller 會嘗試移除感染。如果無法提供 「Cure」選項，請將其保留在 「略過 」的預設動作，然後按下 「Continue 」按鈕。請勿將其變更為「刪除」或「隔離」，因為它可能會刪除 Windows 正常運作所需的受感染檔案。

10. 清理完感染後，您會看到報告。

（圖.5 掃描結果）

11. 如果 TDSSKiller 清除 TDSS 感染，可能需要重新開機才能完成清潔程式。按一下「 立即重新開機 」按鈕，將電腦重新開機，並完成從電腦移除 TDSS 感染的作業。

12. 建議您執行像是惡意軟體位元組或類似惡意軟體掃描器工具的掃描工具，以確保掃描並徹底清除一切。請務必選取熟知的工具，並從來源下載。您可以從未知來源下載，再次感染您的電腦。

• 在網際網路論壇提出協助要求
• 執行原廠還原或作業系統的清潔安裝

相關的 TDSS、Alureon 或 TDL3 Rootkit 檔案

C：\WINDOWS\_VOID\

C：\WINDOWS\_VOID\_VOIDd.sys

C：\WINDOWS\SYSTEM32\UAC.dll

C：\WINDOWS\SYSTEM32\uacinit.dll

C：\WINDOWS\SYSTEM32\UAC.db

C：\WINDOWS\SYSTEM32\UAC.dat

C：\WINDOWS\SYSTEM32\uactmp.db

C：\WINDOWS\SYSTEM32\_VOID.dll

C：\WINDOWS\SYSTEM32\_VOID.dat

C：\WINDOWS\SYSTEM32\4DW4R3c.dll

C：\WINDOWS\SYSTEM32\4DW4R3sv.dat

C：\WINDOWS\SYSTEM32\drivers\_VOID.sys

C：\WINDOWS\SYSTEM32\drivers\UAC.sys

C：\WINDOWS\SYSTEM32\4DW4R3.dll

C：\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys

C：\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys

C：\WINDOWS\Temp\_VOID.tmp

C：\WINDOWS\Temp\UAC.tmp

%Temp%\UAC.tmp

%Temp%\_VOID.tmp

C：\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll

檔案位置注意事項。

%Temp：

顯示 Windows Temp 資料夾，預設為 C：\Windows\Temp for Windows 85/98/ME、C：\DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\Temp for Windows 2000/XP and C：\Users\\AppData\Local\Temp in Windows Vista、Windows 7 和 Windows 8

%CommonAppData%：

顯示所有使用者設定檔的應用程式 資料 資料夾，預設為 C：\Documents and Settings\All Users\Application Data for Windows 2000/XP 和 C：\ProgramData\ in Windows Vista、Windows 7 和 Windows 8

%AppData%：

顯示目前的使用者應用程式資料檔案夾，預設為 C：\Documents and Settings\\Application Data for Windows 2000/XP，而 Windows Vista 和 Windows 7 預設為 C：\Users\\AppData\Roaming

%LocalAppData%：

顯示目前的使用者本機設定應用程式資料檔案夾，預設為 C：\Documents and Settings\\Local Settings\Apllication Data for Windows 2000/XP，而 Windows Vista、Windows 7 和 Windows 8 則為 C：\Users\\AppData\Local

%CommonAppData%：

在所有使用者設定檔中顯示應用程式資料檔案夾，適用于 Windows XP、Vista、NT、2000 和 2003，它會直接指向 C：\Documents and Settings\All Users\Application Data\，而 Windows Vista、Windows 7 和 Windows 8 則是 C：\ProgramData

相關的 TDSS、Alureon 或 TDL3 Rootkit Windows 登錄資訊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3