從Yahoo的信箱收到了一封信,內容是奇怪的壓縮檔,一般人應該不會覺得這有什麼,且線上掃毒也沒反應,所以很放心的下載。
下載回來後我們得到了一個壓縮檔
打開壓縮檔看看裡面是什麼,是一個.lnk的檔案
將壓縮檔解開,得到一個如下圖形的檔案
一般大多數人會不知情的開啟,但是一開啟就會發現MSN被關閉後重新啟動,此時MSN已經被病毒檔所取代了。當你在按下去的同時,病毒已經將檔案解開複製到C:\Windows底下。
我們用記事本開啟看看檔案內容是什麼,發現是一個cmd.exe,Windows 命令提示字元(cmd.exe)是Windows下的一個用於運行某些Dos程式的命令提示字元程式。
我們用卡巴斯基來掃這個毒,看看有什麼反應。 很抱歉,並未發現病毒。
它會自動下載及執行一個 livemessenger.com 的檔案,讓你的 MSN 一直不停跳出對話視窗,傳送連結內容給你所有的聯絡人,還會自動關掉視窗。
病毒的清除方式
第一步:關閉MSN Messenger,開啟 “工作管理員” 找到 livemessenger.com ,按下結束處理程序。
Ctrl + Alt + Del -> 工作管理員 -> 處理程序 -> 找到 livemessenger.com ->
右鍵 -> 結束處理程序
第二步:因為病毒會自動修改 windows 登錄檔,讓你電腦重開機後會自動執行 livemessenger.com,所以我們要修改windows 登錄檔將病毒移除。
開始 -> 執行 –> regedit –> 確定
找到以下路徑
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
點選livemessenger.com -> 右鍵 -> 刪除
第三步:接著就是把livemessenger.com 刪掉,這個病毒檔會躲在 windows 安裝的資料夾裡,一般來說XP是C:\Windows,Win2000的話是在C:\WINNT,而且是隱藏檔。
開啟我的電腦 -> C: –> C:\Windows –> 工具 -> 資料夾選項 –> 檢視 –> 隱藏保護的作業系統檔案(取消打勾) –> 顯示所有檔案和資料夾 –> 顯示系統資料夾的內容(打勾) ->確定
找到livemessenger.com,直接刪除就可以了。然後重新開機,搞定。
沒有留言:
張貼留言