電腦之達人~我的部落格

關於部落格
任何與電腦有關的問題都歡迎在留言版上提出
  • 27270

    累積人氣

  • 0

    今日人氣

    0

    訂閱人氣

MSN 最新病毒的手工清除方法 --- 新變種面世,傳播方法更強!

MSN 中毒的最大特徵就是自己的帳號會不受控地 forward 毒檔或毒連結給人,甚至有更多不明的問題。以下簡述其解決方法:

情況1:收到朋友send來的連結,不慎click了入去:
通常這些網站都係誘騙你登入自己的帳戶及密碼,如乜乜.info等網站。黑客得知後,便可利用程式控制你的帳號並繼續作傳播。不過這些網站相信不會留下病毒在你電腦內的。

補救方法:儘快到官方網站更改帳戶密碼,看看防火牆及防毒有否被關上,清空所有Temporary Internet Files 及 cookies。不過如果你只是登入網站而沒有輸入任何資料,相信不會受影響的。

情況2:透過接收檔案而中毒:

/*********** 鑑別種類 ***********/
由於近來出現了一款新特徵的病毒,其毒檔名稱是一串隨機英文字母,特性有別於傳統的MSN病毒,但病徵卻是一樣,我暫且稱它們為「隨機型」MSN病毒。所以如果你確實中了毒,在閱讀下文前,先要知道是中了「傳統型」還是「隨機型」:

基本步驟:
開始 > 執行 > 輸入 services.msc,按一按欄位的「名稱」來排序,查看有沒有一個名為Print Spooler Service 的服務項,留意不是Print Spooler 啊!不過,病毒開始有變種跡象,其服務項的名稱還發現有:

Ati HotKey
Aventail VPN Client
BlueSoleilCS
BT Modem Lock
CMG Shield
Cognos ReportNet
CommServer
Compaq DMI Web Agent
Creative Labs Licensing
DigiCtrl
DQLWinService
Electronic Arts Licensing Service
SolidWorks Licensing Service

如果有,請看「隨機型MSN病毒」一文;沒有則參閱「傳統型MSN病毒」一文。


/*********** 「隨機型」MSN病毒 ***********/
步驟一:登入服務 (開始 > 執行 > 輸入 services.msc)

即是你剛才登入的地方,右鍵按剛才找到的服務項 > 內容 > 在「一般」下,你會看見「執行檔所在路徑」,它所指著的檔案便是作惡的病毒檔案了!請記下它,因為每一個個案都不同的,例如C:Windowssystem32ppldji.exe並且在「啟動類型」選「已停用」> 確定。但要注意如果你中了多於一個msn毒,則未必能在這裏找出來的,但在步驟二裏多數可找到線索。


步驟二:登入regedit (開始 > 執行 > 輸入 regedit)
 

1. 分別到
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices],
檢查右邊有沒有剛才出現過的古怪名稱,例如ppldji,有則刪除。


步驟三:重新啟動電腦。


步驟四:刪除那個位於C:WindowsSystem32入面的古怪檔案,例如ppldji.exe,以及你不小心下載回來的zip檔。


步驟五:下載SREng http://www.kztechs.com/sreng/download.html

開啟後,選啟動專案 > 服務 > Win32 服務應用程式 > 在服務名下查看有沒有以上提及的服務項名稱,有則點選該項目 > 刪除服務 > 否,然後重新啟動電腦。

步驟六,檢查剛才的步驟,確保機碼及檔案已不存在,便可以開啟msn了!



/*********** 「傳統型」MSN病毒 ***********/
步驟一:登入regedit (開始 > 執行 > 輸入 regedit) 

1. 先尋找以下位置:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]

檢查右邊的機碼有沒有以下任何一個 (多數是早期的msn毒):
antivirus
modems
mjd
printers
prodigy1
prodigy323
prodigys323
rdshost
rdfhost
rdihost
syshosts
system32
systrays (不要刪除systray)
version1
w32s

= 一串CLSID

如果有,先抄下那串CLSID,以及它指向的檔案,然後刪除個機碼。如果沒有,則略過 (2)。

2. 刪除 [HKEY_CLASSES_ROOTCLSID{你剛才抄下的CLSID}]

3. 到[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

檢查右邊的機碼有沒有以下任何一個,沒有則略過:
Application Layer Gateway Service
Application Layer Services

Audio Device Manager
cdspeed.exe
chcp.exe
Client Server Runtime Process
ehSched

Firefox Plugin Manager
jucheck
kfh
Local Security Authority Service
Logical Disk Detection
Machine Debug Mgr
Memory Allocation Server
MicrosoftService
MicrosoftServicer
Microsoft Genuine Logon
Microsoft Internet Explorer
Microsoft Spooler

Microsoft Visual Application
mono.exe
MSN
MSn Client Cfg
MSN Software
MSN UPNP

Mss Vc
nVidia Display Driver
perfmon.exe
rcimlby.exe
Remote Terminal Service
Server Runtime Server Subsystem
setpoint.exe
sndrec.exe
Spooler SubSystem App
sy
Syncronization
System Services Monitor
User Sharing Wizard
Userfile Sharing Server
usnsvc.exe
Volume Shadow Configuration
wab.exe
wdrmgf.exe
Winamp Agent (留心有空格的,並非WinampAgent)
Windows Audio Control
Windows Audio Startup
Windows Bool Service
Windows Boot
Windows Config
Windows Explorer
Windows Explorer Key
Windows Live Msgs
Windows Live Messenger
Windows Live Servicer
Windows Logon Application
Windows Lsass Services
Windows Messenger Share
Windwos MSN Updates
Windows Network Firewall
Windows Network Service
Windows Pool Manager
Windows Pool Setup
Windows Population Logger
Windows Remote Launcher
Windows Section Event
Windows Terminal Manager
Windows Video Input
Windows Volume Control
winfp.exe
winlogon

若發現存在,請先記下該機碼指向的檔案,然後將整個機碼刪除。

 1. 先尋找以下位置:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]檢查右邊的機碼有沒有以下任何一個 (多數是早期的msn毒):

4. 如果你中了一個VBS型的病毒,那麼會經常有個警告彈出,寫著C:abc.vbs之類的字眼。這時你需要刪除 [HKEY_CLASSES_ROOTabc] 整個"abc" 機碼。

步驟二:跳出registry並重新啟動電腦。

步驟三:到控制台 > 資料項選項 > 檢視 > 點選 顯示所有檔案和資料夾 及不選 隱藏受保護的作業系統檔案 > 確定。

步驟四:刪除你剛才抄下的檔案
1.如在C:下發現以下檔案,請刪除:
?rsss.exe ? 為任意一個英文字母
smsss.exe
pif.exe
autorun.inf
a.bat
abc.vbs
cba.vbs
1.txt
2.txt
f uckrav.com


2.
在C:Documents and Settings用戶名下發現以下檔案,請刪除:
auto.txt
new.txt
一個6位隨機字母數字.exe

3. 如在C:Windows下發現以下檔案,請刪除:
你不心下載回來的zip檔(如img301.zip、img1756.zip),以及你剛才在步驟一第3項抄下來的檔案,它們可能是

ati3evx.exe
cdspeed.exe
chcp.exe
firefoxpgm.exe
install.exe
jitbv.exe
livemessenger.com
logon.exe
mono.exe
msn.com
msnmsg.exe
msnmsgr.exe
msnmsgs.exe
mysexpic.exe
perfmon.exe
rcimlby.exe
sdfax.exe
service52.exe
setpoint.exe
sfhgj.exe
svchost.exe  (記住真正的svchost.exe是在C:Windowssystem32入面,一般會有5-6個在運行。)
system.exe
usnshare.exe
usnsvc.exe
vpcrtf.exe
wab.exe
wdfmgr.exe
winbool32.exe
windrivers.exe
winfp.exe
winlog32.exe
winpo32.exe
winsyshp.exe
wkssvr.exe
wndxp.exe
wnpmcs.exe
xaudiodev.exe

4.
如在C:WindowsSystem下發現以下檔案,請刪除:
ehsched.exe
explorer.exe
lsass.exe (真正的lsass.exe是在system32入面的!)
csrss.exe (真正的csrss.exe是在system32入面的!)


5. 如在C:WindowsSystem32下發現以下檔案,請刪除:
algs.exe
asrsvc.exe

audise.exe
ciserv.exe
csrs.exe
explorer.exe
firewall.exe
firewallav.dll
hs4viewer.dll
iexplore.exe
intlprinters.exe
isass.exe
kfh.exe
libcinet.exe
libweb.dll
libcintles2.dll
libcintles3.dll
logon.exe
lssas.exe
mdesvc.exe
mdn.exe
mrisvc.exe
msn.exe
msn.dll
msnclicfg.exe
msnfix.exe
msnlive.exe
msnsoftware.exe
msnupnp.exe
mssvc.exe
msync.exe

newsystem25.dll
nndsvc.exe
notiffy.dll
notice.dll
nvsvc64.exe
ongsvc.exe
poolmc.exe
poolsc.exe
ppnsvc.exe
prcsvc.exe
printers.exe
prodigy323.dll
prodigys323.dll
rdfhost.dll
rdihost.dll
rmbsvc.exe
rndsvc.exe
rpmsvc.exe
sdrec32.exe
service.exe
servicer.exe
sntsvc.exe
spooisv.exe
spoolsvc.exe
syshelps.dll
syshosts.dll
systrays.dll
sysprinters.dll
usnserv.exe
usnshare.exe
usnsrv.exe
usrserv.exe
vbmsvc.exe
viwsvc.exe
w32_mjd.dll
win422.dll
winamp.exe
winboot.exe
winconfig.exe

winlog32.dll
winiogon.exe
wkssvc.exe
wlivemsg.exe
wmssvc.exe
wnd32.exe

6. 如在C:WindowsSystem32dllcache下發現以下檔案,請刪除:
jucheck.exe
winlogon.exe

7.在C:WindowsSystem32microsoft入面,檢查有沒有兩個檔名為backup.tftp及backup.ftp,如沒有,請略過。如有,請依照以下步驟:

(i)將 backup.tftp 改成 tftp.exe,及將 backup.ftp 改成
ftp.exe
(ii) 將 tftp.exe 及 ftp.exe 複製到 C:WindowsSystem32 及 C:WindowsSystem32dllache,取代原先檔案即可。  

步驟五:完成!可到控制台 > 資料項選項 > 檢視 > 點選 顯示所有檔案和資料夾 及選 隱藏受保護的作業系統檔案 > 確定。可重新啟動msn了!


由於病毒仍高速變種,你可能找不到以上提及的檔案。 另外,部份MSN病毒例如img024.zip、pic48174.zip,更會修改了防火牆的設定,也會修改了Winlogon的設定。這部分我仍在研究中,當研究成功後我會再發一篇新文章為大家解難。

相簿設定
標籤設定
相簿狀態