msn中毒~~中photo album.zip

同學傳給我的~看都沒看就按下去了

然後有解壓縮 就中毒ㄌ

畫面一直抖,無法開啟msn連絡人名單

然後也會傳給同學

有掃毒ㄌ也多下載AVG Anti-Spyware來掃

都沒用 也不知道怎樣ㄌ

只要上msn 過不了多久 就又開始傳檔案給同學

所以也不能開

麻煩大家ㄌ

2 個解答

評分
  • 最佳解答

    1.刪除病毒的啟動指令:

    a.按"開始",點選"執行"。

    b.鍵入"regedit" 確定。

    c.會跳出一個視窗。

    利用上面功能鍵 "編輯(E)" 點選裡頭的"尋找"

    鍵入 " rdshost " 或是 " rdshost.dll " 之後按右邊的「找下一個」

    如有找到把該檔案刪除。

    d.另外還要再刪另一個檔案....

    像在開檔案總管的方式一樣,開第三個資料夾,一直開下去,照下面的順序:

    HKEY_LOCAL_MACHINE

    HKEY_LOCAL_MACHINE\SOFTWARE

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    點一下那個資料夾 ShellServiceObjectDelayLoad

    右邊會出現幾個檔案,找找有沒有一個:

    "rdshost" = XXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX (X代表一些數字)

    把他刪掉(按右鍵選刪除)

    e.重新啟動電腦

    2.刪除病毒檔案:

    搜尋硬碟 C 槽

    photo album.zip 檔名(一般好像在 windows 資料夾裡)

    rdshost.dll 檔名(一般應該在System 或 System32 資料夾裡下)

    (不是 rdshost.exe 喔 )

    把他們刪除即可

    參考資料: PTT
  • 1 0 年前

    技术分析

    ==========

    病毒通过MSN传播,文件名photo album.zip,包含病毒文件photo album2007.pif,病毒被运行后,复制自身到系统目录:

    %Windows%\photo album.zip

    另外释放一个dll文件注入Explorer.exe进程:

    %System%\rdshost.dll

    在注册表中创建ShellServiceObjectDelayLoad启动方式:

    [Copy to clipboard]CODE:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

    "rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

    [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]

    @="rdshost.dll"

    注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}

    向MSN好友发送信息:

    QUOTE:

    HEY lol i've done a new photo album ! Second ill find file and send you it.

    Hey wanna see my new photo album?

    Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...

    Hey just finished new photo album! might be a few nudes ;) lol...

    hey you got a photo album? anyways heres my new photo album accept k?

    hey man accept my new photo album.. made it for yah, been doing picture story of my life lol..

    同时将%Windows%\photo album.zip发送过去。

    连接的IRC:darkjester.xplosionirc.net

    清除步骤

    ==========

    1. 删除病毒的启动项:

    [Copy to clipboard]CODE:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

    "rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

    [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]

    @="rdshost.dll"

    2. 重新启动计算机

    3. 删除病毒文件:

    %Windows%\photo album.zip

    %System%\rdshost.dll

    另外通过sreng操作步骤如下

    安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

    打开sreng

    启动项目 注册表 删除如下项目 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad下面的

    <rdshost><rdshost.dll> []

    键值

    删除C:\WINDOWS\system32\rdshost.dll文件

    C:\WINDOWS\photo album.zip

    资料来源:http://hi.baidu.com/ye_yousi/blog/item/5f40c6f8366...

還有問題?馬上發問,尋求解答。