✔ 最佳答案
意料之內,病毒近期又推出新變種,例如photos、album、summer2008.zip等。以下是基本解毒方法,大致上同上次的photos.zip做法相若:
個案1:photosXXXX.zip、albumXXXX.zip、summer2008.zip、pictureXXXX.zip 之類的檔案
1. 先關閉msn,進入regedit。開始 > 執行 > regedit > 找出以下機碼:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDe layLoad]
右邊的機碼包括 (任何一個)
printers
system32
syshosts
systrays
rdshost
rdfhost
rdihost
= 一串CLSID
或 一串CLSID =
systesrt32.dll
prodigy323.dll
prodigys323.dll
先抄下那串CLSID,然後刪除個機碼。
2. 在[HKEY_CLASSES_ROOT\CLSID\]下,刪除剛才抄下的機碼folder。
3. 刪除 [HKEY_CURRENT_USER\Software\Microsoft\一堆隨機字母] (暫時唔肯定有冇呢個,有就刪除)
4. 重新啟動電腦,在資料夾選項入面選 "顯示所有檔案" 及不選"隱藏受保護的系統檔" ,刪除以下檔案 (如有的話) ,這是目前已知的檔案:
C:\Windows\System32 入面的
printers.exe
msn.exe
intlprinters.exe
libcintles3.dll
libwinets_dll
notiffy.dll
notice.dll
msn.dll
rafba.dll
winlog32.dll
firewallav.dll
systesrt32.dll
prodigy323.dll
prodigys323.dll
C:\Windows\一個以photo, album, image, picture 等字頭的檔案
C:\Documents and Settings\用戶名\new.txt
4. 成功!可重啟msn了! (最好set番不顯示隱藏檔及隱藏受保護的系統檔)
******************** ******************** ******************** ******************** *************
個案2:img1756.zip、pic.zip 等檔案
1. 先關閉msn,進入regedit。開始 > 執行 > regedit > 刪除以下機碼:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 右邊的 [Microsoft Genuine Logon] 或 [Microsoft Visual Application]
所指住的檔案可能係
msnmsg.exe
system.exe
vpcrtf.exe
svchost.exe (記住真正的svchost.exe是在C:\Windows\system32入面,一般會有5-6個在運行,如果唔係在呢度入面的svchost.exe,99.9%係毒!)
2. 跟住reboot,同樣入資料夾選項set野,刪除C:\Windows\上面提及的檔案 及 C;\Windows\pic.zip 或 imgXXXX.zip 等檔案即可。
** 如果你用combofix scan 過report,system32以外的svchost.exe或會被自動刪除。
-------------------- -------------------- -------------------- -------------------- -------------------- -------------------- -------------------- -------------------- -------------------- -----
由於病毒仍不停變種,你可能找不到以上提及的檔案,但解毒方法大致相同。如果需要進一步求助,你必須上傳combofix report
ComboFix :
http://www.sendspace .com/file/l6emhj
只要一click佢佢就會scan,同埋出一個log file。冇report的求助個案,本人絕不受理!