To Blman大師： 陸陸續續有人反應無法順利移除，我將無法移除的那些檔案拿來實測 結果與Sdum大，的結果有些相異，我想應該是有變種吧～ 那我將我測試的結果分享一下～ 看是否有部分無法解毒是這個造成的~~~ 測試開始： ChristmasImg2007-12.zip 解壓縮後裡面是 Christmas-img2156.JPEG.scr 執行這檔案後，所進行的動作： 登錄檔路徑: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run 登錄檔名稱:MsnLiveMessenger 登錄檔數值:msmsgrs.exe 建立檔案在 C\WINDOWS\msmsgrs.exe 再對所建立的C\WINDOWS\msmsgrs.exe進行測試 建立檔案 C\0h00.exe C\WINDOWS\system32\svho.exe 登錄檔路徑: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run 登錄檔名稱:System Service Manager Device 登錄檔數值:svho.exe 登錄檔路徑: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\RunServices 登錄檔名稱:System Service Manager Device 登錄檔數值:svho.exe 解法的部分，操作上如sdum所說明的icesword的操作 把機碼吃掉 與檔案刪掉重開機就可以了～ 或等等有沒有大師，將其寫成批次檔^^ 註1： HKEY_CURRENT_USER\machine 這個machine的key我的電腦裡面沒有， 是整個新建立的嗎? 測試樣本：http://kotuha.com/file/Jhiu2-ChristmasImg2007-12.html 密碼:virus --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.63.194 To Sdum大： 感謝解說^^ 樣本測試果然不熟Orz 看了一下跟您之前的解 生成的 C:\0h00.exe <--- 其實我忘了對他測試了Orz，應該也有寫入機碼，只是blman大師有刪掉他 大概是因為檔案不見了，所已變種有順利刪除了 [取樣本的那台電腦，執行更新後的killvirus-46，可順利刪除] @@a C:\0000a.exe 這個長的不一樣＠＠a ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~:\Local Settings\Temporary Internet Files\Content.IE5\CNRA8I15\000000000000a[1].exe 然後會下載的那個東西 我測出來的結果是長這樣，不知道是不是亂數生成的＠＠? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 另外請教： 使用EQSysSecure的時候， 是不是把防毒軟體(BD)打開， 只要BD與EQ都對那個樣本進行控制時，就會直接重新開機Orz 開完以後會出現，系統由嚴重錯誤中修復，是否要回報有點軟╮(╯_╰)╭ 在測試的時候，每次都會出現這問題～ 所以很懶的測試>"< ※ 編輯: lcjjaff 來自: 140.112.63.194 (12/27 17:47) 改錯字... ※ 編輯: lcjjaff 來自: 140.112.63.194 (12/27 18:07)