作者SDUM (Roger)
看板MSNmessenger
標題[分享] img2007-12.zip 病毒解法
時間Thu Dec 20 06:16:35 2007
1.使用icesword,terminate掉下列的進程
C:\windows\devices.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
2.在Functions的Process中,右鍵Find Module,
尋找C:\windows\system32\hggddaw.dll
看看有哪些進程,被上面的 *.dll 掛鉤,
再到那些被掛勾的進程,右鍵Module Information,
unload掉那個*.dll
3.刪除下列檔案
C:\windows\img2007-12.zip
C:\windows\devices.exe
C:\is1511881.exe
C:\windows\system32\hggddaw.dll
4.刪除下列的登錄檔值
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:System Device
登錄檔數值:devices.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks
登錄檔名稱:{3401DB32-7F00-4EC7-A890-A75F64973843}
登錄檔路徑:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon\Notify\hggddaw
登錄檔名稱:[Key]
5.使用ccleaner清掉暫存檔
6.完工
----------------------------------------------------
測試用的病毒載點:
http://www.badongo.com/file/5659030
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.216.168.200
1F:推 junorn:我勒....竟然是用類vundo的方式 12/20 07:34
2F:推 freedomaway:我電腦裡沒有device.exe跟messenger.exe檔案,請問掉똠 12/20 11:58
3F:→ freedomaway:掉進程式是指按plugin裡面的choose嗎? 12/20 12:01
4F:推 freedomaway:要刪除的登錄檔我也沒有,這怎麼辦? 12/20 12:50
5F:→ SDUM:就~~~~~你沒中這隻毒吧!Functions->Process->對 進程 右鍵 12/20 16:18
6F:推 freedomaway:可是我有打開img2007-12.zip的檔案,msn的情形也有發 12/20 16:31
7F:→ freedomaway:生,之後我的電腦就開始有點慢,而且一段時間後所有資 12/20 16:32
8F:→ freedomaway:料夾都打不開,還會不時出現一些警告的英文字... 12/20 16:33
9F:推 hn2006:我的情況跟F大一樣,還多了很多莫名奇妙的檔案>"< 12/20 23:39
10F:推 junorn:這次的msn毒 ....9GY 12/21 19:42