Board logo

標題: MSN中左毒!! [打印本頁]

作者: 'nice'    時間: 2007-8-21 11:42 AM     標題: MSN中左毒!!

今朝開機,無端端有人話我send野俾她,but我無,之後發現桌面多左個叫"me2007"的Zip file,
我delete左,不過發現呢個file狂send去俾其他msn的fd,之後我重新開機,重裝過msn,
發現問題持續,有無人可以教下我點樣去解決呢個問題?THX!!
作者: cazykiller    時間: 2007-8-21 12:01 PM

搵掃毒軟件掃下啦=3=最好的解決方法係呢個架啦=3=
作者: ronald711    時間: 2007-8-21 12:49 PM

1. 先關閉msn,進入regedit。開始 > 執行 > regedit > 刪除以下機碼:

[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run] 右邊的↓
[Microsoft Genuine Logon]

所指住的檔案可能係
msnmsgfilter-031
systemfilter-031
svchostfilter-031

(** 記住真正的svchostfilter-031 是在C:\Windows\system32入面,
一般會有5-6個在運行,如果唔係在呢度入面的svchostfilter-031,99.9%係毒!)

2. 跟住reboot,同樣入資料夾選項set野,刪除C:\Windows\上面提及的檔案
及 C;\Windows\pic.zip 或 imgXXXX.zip 等檔案即可。


整壞左 我唔付責嫁~~
我都係o係第二度搵番黎
作者: 'nice'    時間: 2007-8-21 01:17 PM

Originally posted by ronald711 at 2007-8-21 12:49 PM:
1. 先關閉msn,進入regedit。開始 >...
[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run] 右邊的↓
[Microsoft Genuine Logon]

我起Run之後都找不到[Microsoft Genuine Logon] (ps.我用緊的係window2000 pro)
我剛剛裝了AVG呢隻防毒軟件,再重新安裝msn,病毒好似還起到,
不過電腦就話我send唔到file出去,我的fd應該都收唔到了,
最奇怪的係,呢個病毒應該係別人傳染我的,不過我都無收過呢個file "me2007"
係自動接收的,真係麻煩啊!!
作者: vcent    時間: 2007-8-21 02:15 PM

你中左木馬......用Kaspersky Internet Security .....剷走d virus 啦
作者: harwick38    時間: 2007-8-21 10:05 PM

go to download.com ,dl adware remover la
go to remove it
作者: 'nice'    時間: 2007-8-23 04:07 PM

解決唔到啊,現在用緊ebuddy玩MSN,雖然問題不大,不過收/發唔到,唔方便
作者: koola    時間: 2007-8-30 04:57 AM

請看以下解說:

北京盛世京天科技有限公司
MSN照片蠕蟲新變種:photo_album*.zip,album*.zip,image*.zip,photo*.zip,*代表的數字是隨機變化的,該蠕蟲目前正通過MSN瘋狂傳播,由於該蠕蟲是一個全新的變種,並且在計算機系統運行後無進程,大大加大了發現的難度,所以目前大多數殺毒軟件都對此毫無反應,所以我們建議用戶不要輕易在MSN上接收好友發過來的莫名其妙的文件.

*******************

你中的同這個差不多, 試用同一方法但改用你自己病毒的名取代.  ( 在刪除的輸入名稱時, 以下有 myalbum2007.zip 名稱的改為 me2007.zip )

找一個懂電腦的人去幫你照以下刪除, 你可在system edit 內用search去找這個"sysprinters.dll"檔案, 便可找到該CLSID的字串. 照以下刪除整個字串及程序看可否解決.  這類刪除工作通常在安全模式下執行.

祝好運...  


^^^^^^^^^^^^^
MSN病毒 myalbum2007.zip 的清除方案

MSN性感相冊病毒又出變種了,按下面方法可以解決之:
檔案編號:CISRT2007079
病毒名稱:Backdoor.Win32.IRCBot.acd(Kaspersky)
病毒別名:Backdoor.Win32.IRCbot.w(瑞星)
Win32.Hack.MSNBot.ac.52736(毒霸)
病毒大小:52,736 字節
加殼方式:
樣本MD5:ee3ed79ffb63344b6e50458b68a7814a
樣本SHA1:15b1e629ef96ff8cba3fee127b8abc8a88b3f9df
發現時間:2007.7.2
更新時間:2007.7.2
關聯病毒:
傳播方式:通過MSN傳播

技術分析
==========

病毒通過MSN傳播,向MSN上的聯繫人發送虛假消息,同時將自身壓縮包偽裝成照片發送過去(如圖),如果對方接受並打開壓縮包中的病毒文件,那麼系統將被感染。和之前變種一樣,新變種仍然通過ShellServiceObjectDelayLoad加載。

病毒運行後在系統目錄生成包含自身副本的ZIP壓縮文件:
%Windows%\myalbum2007.zip其中包含的文件名是photo album-2007.scr

釋放一個dll文件注入進程:
%System%\sysprinters.dll

在註冊表ShellServiceObjectDelayLoad處創建啟動方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"

註:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為一串CLSID,病毒產生的這段CLSID不固定,如:{72E56A20-CFEE-4DD8-A10D-F1A43CBE46A2}

**************************


清除步驟
==========

1. 刪除病毒的啟動方式:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

以及對應的:

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"

2. 重新啟動計算機

3. 刪除文件:
%Windows%\myalbum2007.zip
%System%\sysprinters.dll
%userprofile%\new.txt





歡迎光臨 娛樂滿紛 26FUN (http://26fun.com./bbs/) Powered by Discuz! 7.0.0