msn中左廣告毒呀.....

病毒近期又推出新變種，例如photos、album、summer2008.zip等。以下是基本解毒方法，大致上同上次的photos.zip做法相若：

個案1：photosXXXX.zip、albumXXXX.zip、summer2008.zip、pictureXXXX.zip 之類的檔案

1. 先關閉msn，進入regedit。開始 > 執行 > regedit > 找出以下機碼：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDe layLoad]
右邊的機碼包括 (任何一個)
printers
system32
syshosts
systrays
rdshost
rdfhost
rdihost

= 一串CLSID

或 一串CLSID =
systesrt32.dll
prodigy323.dll
prodigys323.dll


先抄下那串CLSID，然後刪除個機碼。

2. 在[HKEY_CLASSES_ROOT\CLSID\]下，刪除剛才抄下的機碼folder。

3. 刪除 [HKEY_CURRENT_USER\Software\Microsoft\一堆隨機字母] (暫時唔肯定有冇呢個，有就刪除)

4. 重新啟動電腦，在資料夾選項入面選 "顯示所有檔案" 及不選"隱藏受保護的系統檔" ，刪除以下檔案 (如有的話) ，這是目前已知的檔案：

C:\Windows\System32 入面的
printers.exe
msn.exe
intlprinters.exe
libcintles3.dll
libwinets_dll
notiffy.dll
notice.dll
msn.dll
rafba.dll
winlog32.dll
firewallav.dll
systesrt32.dll
prodigy323.dll
prodigys323.dll

C:\Windows\一個以photo, album, image, picture 等字頭的檔案
C:\Documents and Settings\用戶名\new.txt

4. 成功！可重啟msn了！ (最好set番不顯示隱藏檔及隱藏受保護的系統檔)

******************** ******************** ******************** ******************** *************

個案2：img1756.zip、pic.zip 等檔案

1. 先關閉msn，進入regedit。開始 > 執行 > regedit > 刪除以下機碼：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 右邊的 [Microsoft Genuine Logon] 或 [Microsoft Visual Application]
所指住的檔案可能係
msnmsg.exe
system.exe
vpcrtf.exe
svchost.exe (記住真正的svchost.exe是在C:\Windows\system32入面，一般會有5-6個在運行，如果唔係在呢度入面的svchost.exe，99.9%係毒！)

2. 跟住reboot，同樣入資料夾選項set野，刪除C:\Windows\上面提及的檔案 及 C;\Windows\pic.zip 或 imgXXXX.zip 等檔案即可。

** 如果你用combofix scan 過report，system32以外的svchost.exe或會被自動刪除。


-------------------- -------------------- -------------------- -------------------- -------------------- -------------------- -------------------- -------------------- -------------------- -----
由於病毒仍不停變種，你可能找不到以上提及的檔案，但解毒方法大致相同。如果需要進一步求助，你必須上傳combofix report

ComboFix: http://www.sendspace .com/file/l6emhj