MSN中毒點算?救命

比較清楚既解法 :
出自 : http://blog.xuite.net/rocson/PC/11907465


週五下班前，同事突然傳了個PHOTO ALBUM.ZIP的檔案給我，解開一個...結果是一個 .SCR 的營幕保護程式，
直覺想來~一定又是中毒了!
傳訊一問，果然朋友並不知道他自己有傳檔出來。
朋友問說要如何解決，
我在此提供辦法，也順便讓其他想要自助處理的人可以參考一下!
首先，請先重新開機，
一、在開機時一直按著[F8]，選擇進入[安全模式]
二、點選[開始]->[執行]
三、輸入 REGEDIT ，進入登錄編輯程式中
四、尋找 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
的登錄碼...
五、檢查 右側是否有名為 "SYSHOSTS" 或 "RDSHOST" 名稱的登錄資料
六、在該登入碼中點選右鍵選擇[修改]，進入編輯字串畫面。
七、將"數值資料"欄位中的字串反白，然後按右鍵選擇[複製]
例如 "{AAA288BA-9A4C-45B0-95D7-97D524869CD5}"
八、點選[取消]，離開編輯字串畫面。
九、在步驟五找到的登錄資料名稱上，按右鍵，選擇[刪除]，刪除該筆資料。
十、在登錄編輯工具的K左側視窗中，點選到最上方的[我的電腦]
十一、在選單列上點選[編輯]->[尋找]
十二、在尋找視窗中，將剛剛步驟七複製下來的字串，貼在"尋找目標"欄中。
十三、點選[找下一個]，將尋找到的整個登錄值刪除，例如
HKEY_CLASSES_ROOTCLSID{AAA288BA-9A4C-45B0-95D7-97D524869CD5}InProcServer32
十四、重新開機之後...尋找
C:Windowsphotos.zip
C:WindowsSystem32syshosts.dll
C:WindowsSystem32rdshost.dll
並將找到的檔案刪除即可。

2007-09-03 17:33:13 補充：
十四、重新開機之後...尋找C:Windowsphotos.zip C:WindowsSystem32syshosts.dll C:WindowsSystem32rdshost.dll並將找到的檔案刪除即可

已證實為 Win32/IRCBot.VX (7/2)
這個比舊的更可怕
一按就自動下載 + 執行
NOD32 的 2039版本已可偵測到

"Heeey! I saw a picture online and im definately sure its you , the one on the left rite??
h t t p://ww.xxxxxxxx.com/picdata/39ak4f2/picture(DL).php

如收到以上信息,請勿按下連結!!!!!!!!

在今日(5/2)下午三時開始好多人的 MSN 收到

"Heeey! I found a picture of you online , Haha look at your face http://www.xxxxxxxxxx.com/PIC/DATA/14/PartyG/pic(xxxx).php"

按了連結後會要求下載一個檔案，如果你已下載並開啟，表示你已經中了毒
病徵：Mouse 及 Keyboard 沒有反應，被迫手動重新開機
　　　自動透過MSN傳送以上訊息
　　　螢幕１８０度調轉
解決方法１：
1.按 ctrl + alt + de 叫出工作管理員 或於執行打 TASKMGR.EXE ---> Enter
2. 在工作管理員中按處理程式後停止 msync.exe 和 crsss.exe(不是 csrss.exe) (如果存在)
3. 刪除 C:\Windows\system32\msync.exe 和 c:\crsss.exe (如果存在)

*如不能手動刪除以上兩個檔案,請開啟NOTEPAD 輸入以下文字
----------------------------Start---------------------------
del C:\Windows\system32\msync.exe /f
del c:\crsss.exe /f
pause
---------------------------End-----------------------------
儲存成Delete.bat 存檔類型一定要是任何檔案
執行Delete.bat

4. 在開始 -> 執行 輸入 "msconfig" -> enter, 在啟動中找到"Syncronization"後請untick在旁的小格.

# 如果在 msconfig 中的啟動未能夠尋找到 "Syncronization", 你可嘗試在 "位置" 中找尋有沒有一個指著 C:\Windows\system32\msync.exe
# 如果有請untick在旁的小格, 如果沒有理論上你 reboot 後也不會再受這隻病毒影響, 除非你中的是這病毒的變種.

之後 reboot, 但請下次小心不要亂開 MSN 中的 URL.

解決方法２：

1.下載Hijackthis http://www12.discuss.com.hk/viewthread.php?tid=1741311)
2.按 ctrl + alt + de 叫出工作管理員 或於執行打 TASKMGR.EXE ---> Enter
3. 在工作管理員中按處理程式後停止 msync.exe 和 crsss.exe(不是 csrss.exe) (如果存在)
4. 刪除 C:\Windows\system32\msync.exe 和 c:\crsss.exe (如果存在)

*如不能手動刪除以上兩個檔案,請開啟NOTEPAD
輸入以下文字
----------------------------Start---------------------------
del C:\Windows\system32\msync.exe /f
del c:\crsss.exe /f
pause
---------------------------End-----------------------------
儲存成Delete.bat 存檔類型一定要是任何檔案
執行Delete.bat

5. 關閉你的IE,用HijackThis,按 Do a system scan only,如找到以下項目,請選取,按 Fix checked 修復
O4 - HKLM\..\Run: [Syncronization] C:\WINDOWS\system32\msync.exe

之後 reboot, 但請下次小心不要亂開 MSN 中的 URL.

FAQ :

1.我重新開完機就有個系統設定公用程式,點算好?

因為你已改動msconfig
所以會有一個alertbox出來提你
只要你在按確定之前tick了那個check box之後再按確定
系統設定公用程式就不會再彈出來

2.我搞掂之後唔見咗d 連絡人,點算好?

1.開 windows messenger 最舊果個
2登入後按檔案 --->儲存連絡人清單
3.自行決定名字及位置後儲存
4.關閉windows messenger
5.開啟Windows Live Messenger
6.按連絡人--->匯入即時通訊的連絡人-->選擇剛剛儲存的檔案---> ok

3.msconfig入面仲有msync.exe / Syncronization , 點算好???

想永久刪除msconfig入面的 Syncronization，登入regedit：開始 -> 執行 -> regedit，找[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，直接刪除右邊那個 Syncronization 的字串，跟住Reboot
4.我個mon仲係180度調轉咗呀,點算好???
進入圖像卡的控制台(如ATi的Catalyst)
找找有沒有旋轉或類似的字眼,
如有請查看是否設定為正常,若非當然設回正常