作者SDUM (Roger)
看板MSNmessenger
标题[分享] img2007-12.zip 病毒解法
时间Thu Dec 20 06:16:35 2007
1.使用icesword,terminate掉下列的进程
C:\windows\devices.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
2.在Functions的Process中,右键Find Module,
寻找C:\windows\system32\hggddaw.dll
看看有哪些进程,被上面的 *.dll 挂钩,
再到那些被挂勾的进程,右键Module Information,
unload掉那个*.dll
3.删除下列档案
C:\windows\img2007-12.zip
C:\windows\devices.exe
C:\is1511881.exe
C:\windows\system32\hggddaw.dll
4.删除下列的登录档值
登录档路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登录档名称:System Device
登录档数值:devices.exe
登录档路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks
登录档名称:{3401DB32-7F00-4EC7-A890-A75F64973843}
登录档路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon\Notify\hggddaw
登录档名称:[Key]
5.使用ccleaner清掉暂存档
6.完工
----------------------------------------------------
测试用的病毒载点:
http://www.badongo.com/file/5659030
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.216.168.200
1F:推 junorn:我勒....竟然是用类vundo的方式 12/20 07:34
2F:推 freedomaway:我电脑里没有device.exe跟messenger.exe档案,请问掉똠 12/20 11:58
3F:→ freedomaway:掉进程式是指按plugin里面的choose吗? 12/20 12:01
4F:推 freedomaway:要删除的登录档我也没有,这怎麽办? 12/20 12:50
5F:→ SDUM:就~~~~~你没中这只毒吧!Functions->Process->对 进程 右键 12/20 16:18
6F:推 freedomaway:可是我有打开img2007-12.zip的档案,msn的情形也有发 12/20 16:31
7F:→ freedomaway:生,之後我的电脑就开始有点慢,而且一段时间後所有资 12/20 16:32
8F:→ freedomaway:料夹都打不开,还会不时出现一些警告的英文字... 12/20 16:33
9F:推 hn2006:我的情况跟F大一样,还多了很多莫名奇妙的档案>"< 12/20 23:39
10F:推 junorn:这次的msn毒 ....9GY 12/21 19:42