To Blman大师： 陆陆续续有人反应无法顺利移除，我将无法移除的那些档案拿来实测 结果与Sdum大，的结果有些相异，我想应该是有变种吧～ 那我将我测试的结果分享一下～ 看是否有部分无法解毒是这个造成的~~~ 测试开始： ChristmasImg2007-12.zip 解压缩後里面是 Christmas-img2156.JPEG.scr 执行这档案後，所进行的动作： 登录档路径: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run 登录档名称:MsnLiveMessenger 登录档数值:msmsgrs.exe 建立档案在 C\WINDOWS\msmsgrs.exe 再对所建立的C\WINDOWS\msmsgrs.exe进行测试 建立档案 C\0h00.exe C\WINDOWS\system32\svho.exe 登录档路径: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run 登录档名称:System Service Manager Device 登录档数值:svho.exe 登录档路径: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\RunServices 登录档名称:System Service Manager Device 登录档数值:svho.exe 解法的部分，操作上如sdum所说明的icesword的操作 把机码吃掉 与档案删掉重开机就可以了～ 或等等有没有大师，将其写成批次档^^ 注1： HKEY_CURRENT_USER\machine 这个machine的key我的电脑里面没有， 是整个新建立的吗? 测试样本：http://kotuha.com/file/Jhiu2-ChristmasImg2007-12.html 密码:virus --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.63.194 To Sdum大： 感谢解说^^ 样本测试果然不熟Orz 看了一下跟您之前的解 生成的 C:\0h00.exe <--- 其实我忘了对他测试了Orz，应该也有写入机码，只是blman大师有删掉他 大概是因为档案不见了，所已变种有顺利删除了 [取样本的那台电脑，执行更新後的killvirus-46，可顺利删除] @@a C:\0000a.exe 这个长的不一样＠＠a ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~:\Local Settings\Temporary Internet Files\Content.IE5\CNRA8I15\000000000000a[1].exe 然後会下载的那个东西 我测出来的结果是长这样，不知道是不是乱数生成的＠＠? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 另外请教： 使用EQSysSecure的时候， 是不是把防毒软体(BD)打开， 只要BD与EQ都对那个样本进行控制时，就会直接重新开机Orz 开完以後会出现，系统由严重错误中修复，是否要回报有点软╮(╯_╰)╭ 在测试的时候，每次都会出现这问题～ 所以很懒的测试>"< ※ 编辑: lcjjaff 来自: 140.112.63.194 (12/27 17:47) 改错字... ※ 编辑: lcjjaff 来自: 140.112.63.194 (12/27 18:07)