3P 論壇 » 電腦軟件及Windows 討論 » [轉貼] MSN 照片毒 photo.zip (Worm.IRC.MyPhoto.a) 解決方法

查看完整版本: [轉貼] MSN 照片毒 photo.zip (Worm.IRC.MyPhoto.a) 解決方法

bemygal 2007-6-5 11:47

[轉貼] MSN 照片毒 photo.zip (Worm.IRC.MyPhoto.a) 解決方法

[轉貼] MSN 照片毒 photo.zip (Worm.IRC.MyPhoto.a) 解決方法

[size=12px][size=9pt]病毒名稱：MSN照片（Worm.IRC.MyPhoto.a）
病毒類型：蠕蟲病毒
病毒危害級別：★★★☆[/size]
[size=9pt]
病毒發作現象及危害：該病毒會通過MSN發送內容為“HEY lol i’ve done a new photo album !
Second ill find file and send you it.”、“Hey wanna see my new photo album?”等內容的消息，同時附帶一個名為photo album.zip的壓縮檔。
[img]http://www.hacker.cn/Files/BeyondPic/2007-4/3/b3.jpg[/img]
用戶運行該壓縮檔中的程式即會被病毒感染。病毒還會在用戶電腦裏釋放一個後門程式，駭客可以利用IRC軟體遠端控制中毒電腦，竊取個人資料，從而使用戶面臨極大的安全威脅。
手工刪除：
一、刪除病毒的註冊表啟動專案
1、運行regedit，打開註冊表編輯器。打開
HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼
ShellServiceObjectDelayLoad，找到“rdshost”一項，將其值記錄下來，並將該項刪除。
[img]http://www.hacker.cn/Files/BeyondPic/2007-4/3/b2.jpg[/img]
注意：“rdshost”項的值為一個CLSID。病毒產生的這段CLSID不固定，本例中為：{C7B4EE78-A8FB-4C16-AE1F-C1A568949825}。
2、打開HKEY_CLASSES_ROOTCLSID，找到剛才記錄下的CLSID項，本例為：{C7B4EE78-A8FB-4C16-AE1F-C1A568949825}，將其刪除。
[img]http://www.hacker.cn/Files/BeyondPic/2007-4/3/b3.jpg[/img]
二、重新啟動電腦
由於該病毒駐留記憶體，因此，清除掉啟動專案後必須重新啟動電腦才能夠刪除病毒檔。
三、刪除病毒檔
1、進入Windows，默認為C:＼windows，找到名為“photo album.zip”的檔並刪除。
[img]http://www.hacker.cn/Files/BeyondPic/2007-4/3/b4.jpg[/img]
2、進入系統目錄，默認為C:＼windows＼system32，找到名為“rdshost.dll”檔並刪除（注意是DLL檔不是EXE）。
3、重新啟動電腦，檢查這幾個檔是否存在，如果不存在，則病毒已被清除乾淨。
提示：該病毒手工清除較為繁瑣，建議使用殺毒軟體清除。針對“MSN照片”病毒，用戶應採取如下措施，不要輕易通過MSN接收和運行陌生檔；病毒利用MSN進行傳播，大量佔用系統資源和網路帶寬，因此企業局域網用戶更要加強對此病毒的防範；儘快更新自己的殺毒軟體版本，瑞星殺毒軟體19.16.12版本可以徹底清除此病毒。

[size=4][color=blue]***因為呢個病毒經常變種, 岩岩發現另一個file叫 SYSHOST.DLL, 解除方法跟上面一樣, 只要把 rdhost.dll 的地方換成 syshost.dll 便可。***[/color][/size][/size][/size]

頁: [1]

查看完整版本: [轉貼] MSN 照片毒 photo.zip (Worm.IRC.MyPhoto.a) 解決方法