作者SDUM (Roger)
看板AntiVirus
標題[分享] New-Year2008-imgaes.zip病毒解法
時間Fri Dec 28 13:35:48 2007
這次,需要先google下載,三個程式
1.icesword
2.autoruns
3.unlocker
-----------------------------------------------------
<1>先解決 MSN 病毒
1.使用icesword,在Functions的Process中,結束下列進程
C:\WINDOWS\msmsgrsu.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
2.刪除下列 登錄檔值
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:MsnLiveMessenger
登錄檔數值:msmsgrsu.exe
3.刪除下列檔案
C:\WINDOWS\New-Year2008-imgaes.zip
C:\WINDOWS\msmsgrsu.exe
C:\is151188.exe
<2>再來解決 winlogon.exe
1.使用autoruns,Options -> Hide Microsoft Entries -> 按下 F5
如下圖,在紅框處找到病毒建立的.dll
http://i234.photobucket.com/albums/ee153/a256886572008/sc/eq1-3.png
因為他會改名字,所以,按照上圖的路徑,是什麼 .dll檔,就刪除誰!
2.使用 unlocker ,對著那隻 .dll 檔案,右鍵 Unlocker
在左下角,選擇 刪除,一直按下 全部解鎖,直到那個.dll被刪除!
3.這時,會跳出 winlogon.exe 錯誤 的詢問框,
讓他 卡 在那裡,不要動他!
4.趁現在,用autoruns,把
登錄檔路徑:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
登錄檔名稱:剛剛那隻 .dll 的名稱
給刪除
5.好,現在對 winlogon.exe 錯誤 的詢問框,一直按確定!
6.藍屏
7.等 約5分鐘後,再開機!
8.用ccleaner 清掉 暫存檔
9.完工
---------------------------------------
測試用的病毒載點:
http://www.badongo.com/file/7066572
完整測試:
http://www.avpclub.ddns.info/discuz/thread-7264-1-1.html
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 125.230.122.67
1F:推 aadolph:大感謝,才剛中毒沒多久,就看到分享,實在太好了。 12/28 13:36
2F:推 mora:請問要怎麼利用iceword,結束進程? 12/28 14:04
3F:推 memboboo:感謝 早上才剛成為毒窟....連結真的不能亂點 12/28 14:06
4F:推 mora:可以有好心人教的比較仔細的嗎?第一次解毒看不太懂!!謝謝~~ 12/28 14:36
5F:推 superter:示意圖開不出來0.0 12/28 14:41
6F:推 eva0083:MORA 你可以下載有中文化的ICEWORD 比較方便你操作 12/28 14:43
7F:推 superter:有人可以說一下圖框起來的地方是哪些字嗎 我圖不能開 12/28 14:54
8F:推 memboboo:autoruns選winlogon 看看有沒有vtuusro 看路徑在哪 12/28 15:07
9F:推 memboboo:不過我找不到vtuusro只看到vtuvwtq.dll 12/28 15:10
10F:推 superter:我的是wvutspo.dll 不過看到建立日期是12/28 12/28 15:13
11F:推 junorn:看來Winlogon那邊是亂數呈現了...會不好搞喔 12/28 15:15
※ 編輯: SDUM 來自: 61.216.189.36 (12/28 17:15)