作者SDUM (Roger)
看板AntiVirus
标题[分享] New-Year2008-imgaes.zip病毒解法
时间Fri Dec 28 13:35:48 2007
这次,需要先google下载,三个程式
1.icesword
2.autoruns
3.unlocker
-----------------------------------------------------
<1>先解决 MSN 病毒
1.使用icesword,在Functions的Process中,结束下列进程
C:\WINDOWS\msmsgrsu.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
2.删除下列 登录档值
登录档路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登录档名称:MsnLiveMessenger
登录档数值:msmsgrsu.exe
3.删除下列档案
C:\WINDOWS\New-Year2008-imgaes.zip
C:\WINDOWS\msmsgrsu.exe
C:\is151188.exe
<2>再来解决 winlogon.exe
1.使用autoruns,Options -> Hide Microsoft Entries -> 按下 F5
如下图,在红框处找到病毒建立的.dll
http://i234.photobucket.com/albums/ee153/a256886572008/sc/eq1-3.png
因为他会改名字,所以,按照上图的路径,是什麽 .dll档,就删除谁!
2.使用 unlocker ,对着那只 .dll 档案,右键 Unlocker
在左下角,选择 删除,一直按下 全部解锁,直到那个.dll被删除!
3.这时,会跳出 winlogon.exe 错误 的询问框,
让他 卡 在那里,不要动他!
4.趁现在,用autoruns,把
登录档路径:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
登录档名称:刚刚那只 .dll 的名称
给删除
5.好,现在对 winlogon.exe 错误 的询问框,一直按确定!
6.蓝屏
7.等 约5分钟後,再开机!
8.用ccleaner 清掉 暂存档
9.完工
---------------------------------------
测试用的病毒载点:
http://www.badongo.com/file/7066572
完整测试:
http://www.avpclub.ddns.info/discuz/thread-7264-1-1.html
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 125.230.122.67
1F:推 aadolph:大感谢,才刚中毒没多久,就看到分享,实在太好了。 12/28 13:36
2F:推 mora:请问要怎麽利用iceword,结束进程? 12/28 14:04
3F:推 memboboo:感谢 早上才刚成为毒窟....连结真的不能乱点 12/28 14:06
4F:推 mora:可以有好心人教的比较仔细的吗?第一次解毒看不太懂!!谢谢~~ 12/28 14:36
5F:推 superter:示意图开不出来0.0 12/28 14:41
6F:推 eva0083:MORA 你可以下载有中文化的ICEWORD 比较方便你操作 12/28 14:43
7F:推 superter:有人可以说一下图框起来的地方是哪些字吗 我图不能开 12/28 14:54
8F:推 memboboo:autoruns选winlogon 看看有没有vtuusro 看路径在哪 12/28 15:07
9F:推 memboboo:不过我找不到vtuusro只看到vtuvwtq.dll 12/28 15:10
10F:推 superter:我的是wvutspo.dll 不过看到建立日期是12/28 12/28 15:13
11F:推 junorn:看来Winlogon那边是乱数呈现了...会不好搞喔 12/28 15:15
※ 编辑: SDUM 来自: 61.216.189.36 (12/28 17:15)