MSN求助(未解決) - 香港寵物小精靈村落論壇

原帖由 Nidoq 於 23/9/2007 02:06 PM 發表

 登錄/註冊後可看大圖

一天有同學在MSN send來了一個東東,名pic___的(___是一個no,忘了= =)

再加一句Hi,this guys tell me he knows you , is it true?

由於他是愛在MSN說Eng的所以我開了....

但開了兩次也開不到,於是Del了

之 ...

1. 開機時按 F8 進入安全模式

2. Right Click 我的電腦 > 內容 > 系統還原 > 關閉

3. 開始 > 執行 > regedit，找 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]，右邊應會有一個叫 "syshosts" 的機碼，抄低佢個CLSID，例如 {8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}。

4. 刪除 syshosts 呢個機碼。

5. 再到 [HKEY_CLASSES_ROOT\CLSID]，展開並找出剛才的{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}，將整個folder刪除。

6. Reboot，刪除C:\Windows\photos.zip 及 C:\Windows\System32\syshosts.dll

7. 再reboot，睇下呢兩個檔是否仍存在，不見的話即大功告成！

原帖由 Nidoq 於 23/9/2007 03:53 PM 發表

 登錄/註冊後可看大圖

我的只有SysTray 沒s...

*是否不開MSN可阻止它漫延?

原帖由 nelson0908 於 23/9/2007 09:59 PM 發表

 登錄/註冊後可看大圖

先試試= =

II. 手動清除
關閉惡意程式此程序可關閉惡性程式於記憶體中的處理程序.

1.開啟Windows 工作管理員.
Windows 95/98/ME系統,
請按 CTRL+ALT+DELETE
Windows NT/2000/XP系統,
請按 CTRL+SHIFT+ESC,
然後點選處理程序標籤，選擇惡意程式的處理程序,根據所使用的作業系統, 點選結束工作或結束處理程序按鈕. 為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟.
2.關閉工作管理員.

移除登錄編輯程式中自動啟動的機碼移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.
開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter. 在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
在右側視窗中,刪除此機碼:
win32 = "winhost.exe"
在左側視窗中, 滑鼠雙擊下述路徑: HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > RunServices
在右側視窗中,刪除此機碼: win32 = "winhost.exe"
在左側視窗中, 滑鼠雙擊下述路徑: HKEY_CURRENT_USER > Software > Microsoft > Ole
在右側視窗中,刪除此機碼: win32 = "winhost.exe"

Note:: %System% 是指Windows系統資料夾, 通常是指Windows 95, 98和ME的C:\Windows\System, Windows NT和2000的C:\WINNT\System32, 或Windows XP的C:\Windows\System32.

MSN照片毒 photo.zip (Worm.IRC.MyPhoto.a) 解決方法

病毒名稱：MSN照片（Worm.IRC.MyPhoto.a）
病毒類型：蠕蟲病毒
病毒危害級別：★★★☆
病毒發作現象及危害：該病毒會通過MSN發送內容為“HEY lol i’ve done a new photo album !
Second ill find file and send you it.”、“Hey wanna see my new photo album?”等內容的消息，同時附帶一個名為photo album.zip的壓縮檔。

用戶運行該壓縮檔中的程式即會被病毒感染。病毒還會在用戶電腦裏釋放一個後門程式，駭客可以利用IRC軟體遠端控制中毒電腦，竊取個人資料，從而使用戶面臨極大的安全威脅。
手工刪除：

一、刪除病毒的註冊表啟動專案

1、運行regedit，打開註冊表編輯器。打開
HKEY_LOCAL_MACHINE卅SOFTWARE卅Microsoft卅Windows卅CurrentVersion卅
ShellServiceObjectDelayLoad，找到“rdshost”或"syshosts"一項，將其值記錄下來，並將該項刪除。

注意：“rdshost”或"syshosts"項的值為一個CLSID。病毒產生的這段CLSID不固定，本例中為：{C7B4EE78-A8FB-4C16-AE1F-C1A568949825}。
2、打開HKEY_CLASSES_ROOTCLSID，找到剛才記錄下的CLSID項，本例為：{C7B4EE78-A8FB-4C16-AE1F-C1A568949825}，將其刪除。

二、重新啟動電腦

由於該病毒駐留記憶體，因此，清除掉啟動專案後必須重新啟動電腦才能夠刪除病毒檔。

三、刪除病毒檔

1、進入Windows，默認為C:卅windows，找到名為“photo album.zip”的檔並刪除。

2、進入系統目錄，默認為C:卅windows卅system32，找到名為“rdshost.dll”或"syshosts"檔並刪除（注意是DLL檔不是EXE）。

3、重新啟動電腦，檢查這幾個檔是否存在，如果不存在，則病毒已被清除乾淨。

提示：該病毒手工清除較為繁瑣，建議使用殺毒軟體清除。針對“MSN照片”病毒，用戶應採取如下措施，不要輕易通過MSN接收和運行陌生檔；病毒利用 MSN進行傳播，大量佔用系統資源和網路帶寬，因此企業局域網用戶更要加強對此病毒的防範；儘快更新自己的殺毒軟體版本，瑞星殺毒軟體19.16.12版本可以徹底清除此病毒。

*****因為這病毒成日都會變種, 岩岩發現另一個file叫 SYSHOST.DLL, 解除方法跟上面一樣, 只要把 rdhost.dll 的地方換成 syshost.dll 便可。*****

*****這毒又有新品種, 現在會說中文的, 大家要小心喔*****

原帖由 RX78-2 於 23/9/2007 22:27 發表

 登錄/註冊後可看大圖

依我所知不開也會自動發的...

原帖由 RX78-2 於 26/9/2007 07:00 PM 發表

 登錄/註冊後可看大圖

那麼...

你試過哪個有效耶...

原帖由 marcochl 於 27/9/2007 08:03 PM 發表

 登錄/註冊後可看大圖

這個東西變了種
網上的方法大部份都應該會失效了
你有多餘時間上網倒不如快快重裝
那可是木馬呀(開你電腦後門)

原帖由 Nidoq 於 28/9/2007 06:07 PM 發表

 登錄/註冊後可看大圖

洗機=重灌?

原帖由 marcochl 於 28/9/2007 07:58 PM 發表

 登錄/註冊後可看大圖

洗機係format format X:\
重灌係指重裝OS 的程序
洗機後一定要重灌, 但重灌不一定要洗機(XP 下肯定不用)

原帖由 RX78-2 於 28/9/2007 11:40 PM 發表

 登錄/註冊後可看大圖

原來有洗機碟的嗎...

我一向洗機只按format的罷了...

原帖由 RX78-2 於 29/9/2007 01:29 PM 發表

 登錄/註冊後可看大圖

不定要拔掉上網線...

原帖由 RX78-2 於 29/9/2007 01:29 PM 發表

 登錄/註冊後可看大圖

不定要拔掉上網線...

(1)洗機完剩下的...
理所當然只有BIOS...
(2)那時直接放Window碟就能重裝...

原帖由 marcochl 於 29/9/2007 04:56 PM 發表

 登錄/註冊後可看大圖

線是不會帶有病毒的
任何一隻XP(除左upgrade version)
都可以先format, 後install

原帖由 Nidoq 於 30/9/2007 04:14 PM 發表

 登錄/註冊後可看大圖

其實我是想問是否format + install一隻碟解決掉

原帖由 marcochl 於 29/9/2007 04:56 PM 發表

 登錄/註冊後可看大圖

線是不會帶有病毒的
任何一隻XP(除左upgrade version)
都可以先format, 後install

原帖由 Stefan 於 30/9/2007 05:39 PM 發表

 登錄/註冊後可看大圖

XP的升級版也可，只是完裝前它會叫你給它一隻正版Windows的安裝光碟來檢查
Vista就不行了囧

香港寵物小精靈村落 論壇

香港寵物小精靈村落論壇