MSN病毒解法

ENIX.DC

基於週一宅胖色頭 偷看A圖 導致大家 受到騷擾後

本人身為準下任站長
在這邊附上解毒方法 (其實是同事說我太閒了，去找是做)

File serial number:Uhthn20070813e
今天拿到了一個 img807.zip 的新變種樣本
與以往的 msn worm大致相同 , 發送 有毒的zip檔案
img807.zip 解包後 執行 img807.jpg-www.photoalbums.com
1.它將在 %systemroot%\ 下生成
|
|_vpcrtf.exe
|_img807.zip

2.於 %systemroot%\system32\ 下生成
|
|_vpcrtf.exe (可能存在)
|_s?.exe (可能存在)
? 為不固定 數字
3.於 C:\ 下生成
|
|_a.bat

a.bat內容:

@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat

嘗試關閉 Security Center 安全中心 及 winvnc4 遠程控制 服務 , 並刪除自身

4.修改註冊項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application"="vpcrtf.exe"

5.向msn list 成員發送
Is that your mom in this picture?
is that you on the left?
How drunk was I in this picture?
Did you take this picture?
lol, your mom just sent me this picture?

及病毒檔案 img807.zip

=========================================
移除方法:
1.清理註冊項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application"="vpcrtf.exe"
2.刪除檔案
%systemroot%\img807.zip
%systemroot%\vpcrtf.exe
C:\a.bat
%systemroot%\system32\vpcrtf.exe(可能存在)
%systemroot%\system32\s?.exe(可能存在) ? 為不固定 數字

以上為手動解毒

下面為 國外香港網友所製作的 丁丁解毒工具
( 不知道什麼是丁丁去問宅趙)

強烈建議 於安全模式下 使用
MVK For Window XP 2K NT
用完mvk 之後 , 請自行 再修改 你的 msn 登入密碼

用k1先 , 重有問題先用 k2

K1
下載 http://AMST/MVK

解壓所有檔案
執行 bfu.exe
按左上文件夾圖示
選擇  msnviruskill.bfu
按 execute
=======================================================
上面的是 mvk , 能移除msn病毒
下面的是 ufixit , 能移除msn病毒 及 少量 malware
2者均是不同產品 敬請注意
強烈建議 於安全模式下 使用
K2
務必跟 UFixIt 內的 readme 文檔 使用 程式 (使用前 建議 關閉防毒軟件 使用)
下載點 : http://AMST/MVK

pw = uhthn2002
UFIXIT工具 由uhthn2002獨自開發
如對本工具有任何意見 歡迎發表

移除工具進行移除
(期間可能會出現找不到檔案 , 這是正常情況 , 不用理會 直至 report 出現)
   完成後 會出現report , 記得修改 msn pw~!!!!!
report 將會產生在 %homedrive%\ufixit\ufixit.txt
backup 將會產生在 %homedrive%\ufixit\reg_backup %homedrive%\ufixit\file_backup
=================================================
ufixit 使用技巧
當移除程序完成  ufixit report 將會彈出
請細看

NEKO

原帖由 ENIX.DC 於 2007-8-15 10:12 發表

基於週一宅胖色頭 偷看A圖 導致大家 受到騷擾後

本人身為準下任站長
在這邊附上解毒方法 (其實是同事說我太閒了，去找是做)

File serial number:Uhthn20070813e
今天拿到了一個 img807.zip 的新變 ...

5.向msn list 成員發送
Is that your mom in this picture?
is that you on the left?
How drunk was I in this picture?
Did you take this picture?
lol, your mom just sent me this picture?

MSN看到別人傳這些信息
還會去開那個檔的人
我懷疑他的智商嚴重不足


由巴哈和OLG學來的
丁丁是個人材

[ 本帖最後由 NEKO 於 2007-8-15 12:17 編輯 ]

灰色僵屍

丁丁真的是個人材～

NEKO

朋友中了MSN病毒
送了一個OFFLINE信息給我
內容大意是: 我看中了一部NOKIA手機,幫我看看好不好... (全文很長忘了XD)

他換手機沒理由會問我..雖然他蠻喜歡換手機的..
害我心想怎麼突然重視起我(意見)來  

但由於整段文字都是純正中文..沒出現一字廣東話..
這點讓我非常懷疑不是本人

再看連結網址,根本不是正常相簿或NOKIA網址連結...


(今天已經用電話向他確認了是中msn毒)

說了這麼多廢話..
其實想問..有沒有超級"簡單"的解毒方法嗎?
因為中毒的是他公司電腦..
我不好上門去查看..
(當然更不能用我的重灌大法 )

[ 本帖最後由 NEKO 於 2007-10-25 11:50 編輯 ]

ENIX.橘子

只砍掉msn後重灌(msn)呢?

當然，本人沒中過，所以不能確定這個方法有效