作者SDUM (Roger)
看板MSNmessenger
標題Re: [問題] MSN新的病毒?"Photo.rar"?
時間Fri Jun 1 23:23:07 2007
※ 引述《oioics ()》之銘言:
: 如標題
: 這個病毒跟12350 3/30 yannishadow大大PO的病毒
: 是一樣的嗎?
: 還是新的病毒??
: 因為我按照12350的解法
: 找不到rdshost 也找不到rdshost.dll
: 拜託了 各位大大
----------------------------------------------
試試這個方法!
--------------
今天有一個新病毒,病毒名稱…目前只有NOD32的啟發式引擎有判別到(卡巴的免疫防護也
有警示到,但雖然我都選擇封鎖還是讓病毒入侵),各家防毒軟體都未偵測到,如果有以
下情形,你應該就是中了那個毒:
1.中毒來源:點擊不明人士寄給你的「壓縮檔」或其他形式的檔案(目前我只發現到壓縮
檔),可能透過電子郵件或MSN(主要)
2.中毒徵候:MSN會自動發送相同的「壓縮檔(病毒檔)」或其他形式的檔案(目前我只發現
到壓縮檔),給所有MSN的連絡人
3.檢查是否真的中毒:檢查看C:\WINDOWS\SYSTEM32\syshosts.dll 如果有這個檔案,
就是中毒了。
4.解毒方式:
(1)進入安全模式下,刪除C:\WINDOWS\SYSTEM32\syshosts.dll 這個檔案
(2)開啟登錄編輯程式,找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\ShellServiceObjec\
tDelayLoad
,刪除右邊 syshosts這個機碼值
5.我已經將檔案寄給卡巴斯基原廠去判讀了
[email protected]
6.目前仍不知,如果沒有做上述的動作,是否仍會不定時、持續的發送這個檔案給所有的
msn連絡人?還是只會發送一次?
7.其他影響:未發現(目前持續將MSN與IE開啟,看是否刪除上述檔案後仍發送)
8.此病毒入侵方式:會試圖入侵電腦目前開啟動「所有」應用程式 .EXE 檔,如有開啟
WORD、IE、outlook、msn、bt…只要是.exe 這個檔案都會試圖入侵,我找到的時是已經
押入到iexplorer.exe這個執行程序了。
請大家多多向友人說明一下,刪除方式不會很難~~若要問為什麼我會知道如何解毒,沒誤
會不是我製作的(我也是受害者),因為…我也是高手
---------------------------------
以上轉錄自微風論壇!
http://bbs.wefong.com/viewthread.php?tid=1499349
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.114.212.34
推 verbal:我試了,不過沒有看到syshosts.dll 而倒是看到syshosts.0ll 06/01 23:25
→ verbal:的病毒檔。很謝謝SDUM相助!! ^__^ 06/01 23:26
推 icekenice:請問怎麼進入安全模式押 >"< 06/01 23:28
→ SDUM:重開機後,狂按F8,切記勿一直壓住F8! 06/01 23:35
推 d90493:然後呢 .. 刪除了之後還會有事嗎 06/01 23:54
推 cocla:剛中了 朋友只給我檔案 沒給我任何英文訊息 我就先開了.. 06/02 00:59
→ cocla:目前按照步驟刪除了 看起來也正常了 06/02 01:01
推 iloveivy0712:為什麼那個檔案顯示無法刪除呢> < 06/02 01:16
→ iloveivy0712:呃...什麼是登錄編輯程式||| 06/02 01:17
推 verbal:開始->執行->輸入regedit 06/02 01:20
→ cocla:一定要進安全模式 06/02 01:22
推 enricofermi:安全模式下砍掉了syshost.dll但登錄檔那邊找不到 06/02 01:23
推 dreamred:感謝大大 目前恢復正常 不知會不會復發 06/02 01:24
推 iloveivy0712:咪兔 感謝各位 目前回復正常||| 06/02 01:41
→ enricofermi:暫時恢復正常 感謝 06/02 01:42
→ pigxx:感謝大大 目前恢復正常 不知會不會復發 06/02 01:52
推 realforgivin:感謝 剛剛解毒完成 希望不要復發了 06/02 01:52
推 enricofermi:現在不敢睡了....怕再復發@@ 06/02 02:07
→ sovala:感恩!! 目前恢復正常 不准復發阿 囧!!! 06/02 02:33