MSN新病毒：Photos1-2008.zip (26KB)

天龍戰神鷹

新一波的MSN病毒又開始到處流竄，最近各位的MSN可能會收到名為 Photos1-2008.zip、PrivatePhoto2008.zip或 Dc6.zip 的檔案，壓縮檔中包含一個名為 photo151.JPEG_www.HappyNewYear.com 或Image78145-2008.jpg_www.MsnMessenger.scr 的檔案，請各位千萬不要執行此檔案，否則，後果自行負責囉！

執行之後，有下面的行為：

第一種行為：
[Added process]
C:\WINDOWS\happy2008.exe
C:\WINDOWS\svchost.exe

[DLL injection]
C:\WINDOWS\svchost.exe

[Added file]
C:\RECYCLER\S-1-5-21-515967899-583907252-839522115-500\Dc6.zip
C:\setup.exe
C:\WINDOWS\happy2008.exe
C:\WINDOWS\Photos1-2008.zip
C:\WINDOWS\PrivatePhoto2008.zip
C:\WINDOWS\svchost.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=Windows svchost
Data=svchost.exe

第二種行為：
[Added process]
C:\WINDOWS\svchost.exe

[DLL injection]
C:\WINDOWS\svchost.exe

[Added file]
C:\RECYCLER\S-1-5-21-515967899-583907252-839522115-500\Dc6.zip
C:\WINDOWS\PrivatePhoto2008.zip
C:\WINDOWS\svchost.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=Windows svchost
Data=svchost.exe


MSN病毒解法 (Photos1-2008.zip)

1.使用 icesword，在Functions的Process中，右鍵 terminate下列進程(或者在安全模式下也可以)
C:\WINDOWS\happy2008.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe

2.刪除下列 登錄檔值
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:Windows svchost
登錄檔數值:happy2008.exe

3.刪除下列檔案
C:\WINDOWS\Photos1-2008.zip
C:\WINDOWS\happy2008.exe

4.用 ccleaner 清掉暫存檔

5.完工

MSN病毒解法(myPictures-0108.zip)

1.使用 icesword ，在 Functions 的 Process 中，terminate 下列進程(或者在安全模式下也可以)
C:\WINDOWS\msmsgr32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe

2.刪除下列 登錄檔值
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:ryan1918
登錄檔數值:msmsgr32.exe

3.刪除下列檔案
C:\WINDOWS\myPictures-0108.zip
C:\WINDOWS\msmsgr32.exe

4.用ccleaner 清掉 暫存檔

5.完工