Re: [問題] 想解毒..但ip被禁止??
※ 引述《rooo (12)》之銘言:
: 如題 我中了myalbum2007那個毒
: http://www.avpclub.ddns.info/discuz/thread-3722-1-1.html
: 剛剛參考了這個解讀方法的網址
: 就在按 "點我參考"後 想註冊 卻顯示ip被禁止 ~___~
: 怎麼辦..... 我要解毒啦!!!
: 現在電腦慢得可以........
: 誰可以幫幫我 告訴我解毒該做些什麼步驟
: 拜託拜託
------------------------------------------------------------
我把文章轉過來吧!
---------
運行流程:
該蠕蟲運行後,會向 Windows目錄下複製一個自己zip文件的副本,並且向system32目錄下
寫入一個s開頭的Dll文件,並且註冊為com組件,這樣每次啟動電腦,該組件就會自動插入到
系統進程並運行,所以用戶很難找到並刪除該文件,表現現象就是在MSN上瘋狂向好友發送
病毒文件,大量消耗系統資源和網路帶寬. 同時該蠕蟲連接遠程IRC伺服器
(89.188.16.60),開啟並監聽20480端口,接受遠程式控制制命令,駭客可以輕易竊取用戶電
腦內的資料,如果是局域網感染,會造成一個僵屍網路,所以對個人和企業用戶危害相當大
此毒在windows文件夾釋放一個Myalbum2007.zip;在system32文件夾釋放一個
sysprinters.dll。此dll可插入多個應用程式進程。
樣本名:photo album-2007.scr
釋放的行為:
C:\WINDOWS\myalbum2007.zip
C:\WINDOWS\system32\sysprinters.dll
修改註冊表,注入系統進程(子鍵是隨機的,最好的方法在註冊表裏搜索
sysprinters.dll,搜到即刪除子建):
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
"system32" = {7D30DB45-64B4-4416-8BF1-EFC97206B84A}
2.HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{2D3F62CC-CA48-435B-8890-9A26DAA5BA75}\InProcServer32
默認= sysprinters.dll
3.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{7D30DB45-64B4-4416-8BF1-EFC97206B84A}\InProcServer32
默認= sysprinters.dll
MSN病毒 myalbum2007.zip查殺流程:
1、打開註冊表編輯器,展開:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ShellServiceObjectDelayLoad
刪除:system32
展開:HKEY_CLASSES_ROOT\CLSID\
刪除{BB009077-4264-4655-B212-FAB1CAF1DE62}
(其中的InProcServer32默認值為"sysprinters.dll")
2、重啟系統。
3、刪除病毒文件。 (路徑就在上面有說了^_^)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.163.0.41
Instant_Mess 近期熱門文章
PTT數位生活區 即時熱門文章
