※ 引述《rooo (12)》之铭言： : 如题 我中了myalbum2007那个毒 : http://www.avpclub.ddns.info/discuz/thread-3722-1-1.html : 刚刚参考了这个解读方法的网址 : 就在按 "点我参考"後 想注册 却显示ip被禁止 ~___~ : 怎麽办..... 我要解毒啦!!! : 现在电脑慢得可以........ : 谁可以帮帮我 告诉我解毒该做些什麽步骤 : 拜托拜托 ------------------------------------------------------------ 我把文章转过来吧！ --------- 运行流程: 该蠕虫运行後,会向 Windows目录下复制一个自己zip文件的副本,并且向system32目录下 写入一个s开头的Dll文件,并且注册为com组件,这样每次启动电脑,该组件就会自动插入到 系统进程并运行,所以用户很难找到并删除该文件,表现现象就是在MSN上疯狂向好友发送 病毒文件,大量消耗系统资源和网路带宽. 同时该蠕虫连接远程IRC伺服器 (89.188.16.60),开启并监听20480端口,接受远程式控制制命令,骇客可以轻易窃取用户电 脑内的资料,如果是局域网感染,会造成一个僵屍网路,所以对个人和企业用户危害相当大 此毒在windows文件夹释放一个Myalbum2007.zip；在system32文件夹释放一个 sysprinters.dll。此dll可插入多个应用程式进程。 样本名：photo album-2007.scr 释放的行为： C:\WINDOWS\myalbum2007.zip C:\WINDOWS\system32\sysprinters.dll 修改注册表，注入系统进程(子键是随机的，最好的方法在注册表里搜索 sysprinters.dll，搜到即删除子建)： 1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad "system32" = {7D30DB45-64B4-4416-8BF1-EFC97206B84A} 2.HKEY_LOCAL_MACHINE\Software\Classes\CLSID\ {2D3F62CC-CA48-435B-8890-9A26DAA5BA75}\InProcServer32 默认= sysprinters.dll 3. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\ {7D30DB45-64B4-4416-8BF1-EFC97206B84A}\InProcServer32 默认= sysprinters.dll MSN病毒 myalbum2007.zip查杀流程： 1、打开注册表编辑器，展开： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ShellServiceObjectDelayLoad 删除：system32 展开：HKEY_CLASSES_ROOT\CLSID\ 删除{BB009077-4264-4655-B212-FAB1CAF1DE62} (其中的InProcServer32默认值为"sysprinters.dll") 2、重启系统。 3、删除病毒文件。 (路径就在上面有说了^_^) --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.163.0.41