✔ 最佳答案
名稱:MSN相片(Worm.Mail.Photocheat.a)
病毒類型:蠕蟲病毒
病毒危害級別:★★★☆
病毒分析:
這是一個通過MSN進行傳播的蠕蟲病毒,病毒行為如下:
1、病毒運行後創建自己的壓縮包命名為PHOTOS.ZIP釋放到%WINDIR%目錄下,放出一名為syshosts.dll的動態庫到%SYSTEM%目錄下,將動態庫蛀入系統多個線程中實現其傳播的功能。
2、病毒會自動創建如下註冊表項,實現自啟動。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}
3、病毒會將生成的PHOTOS.ZIP通過MSN模擬鍵盤和鼠標操作發送給其他聯繫人,發送消息如下:
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
indigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..
en Fotos ! :p
le mie foto calde :p
mis fotos calientes
as :p
lbum de foto
4、病毒運行後將訪問
www.free8.bi的地址,以特定的暱稱,登錄到特定的IRC頻道上,並在IRC聊天頻道中散播消息。
手工清除方法:
一、刪除病毒在註冊表中的啟動項目
1、點擊「開始」菜單,選擇運行。輸入「regedit.exe」啟動註冊表編輯器。
2、打開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad項,找到名為「syshosts」一項,將其值記錄下來。例如本機中該值為「{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}」
3、將syshosts項刪除。
4、打開註冊表中的HKEY_CLASSES_ROOT\CLSID項,找到剛剛記錄下的項目,本例中為{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}
5、重新啟動計算機。
二、刪除病毒文件
1、打開「我的電腦」,選擇菜單「工具」-》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。同時取消掉「隱藏已知類型文件的擴展名」前的對勾,然後點擊「確定」。
2、進入Windows文件夾(默認為C:\Windows),找到名為「photos.zip」的文件,將其刪除。
3、進入系統文件夾(默認為C:\Windows\system32),找到名為「syshosts.dll」的文件,將其刪除。
4、再次重新啟動計算機,查看這兩個文件是否存在,若不存在,則說明病毒已經被清除乾淨。
註 係syshosts.dll 冇s尾ge唔del得 唔係開唔返機唔關我事