koola

請看以下解說:

北京盛世京天科技有限公司
MSN照片蠕蟲新變種:photo_album*.zip,album*.zip,image*.zip,photo*.zip,*代表的數字是隨機變化的,該蠕蟲目前正通過MSN瘋狂傳播,由於該蠕蟲是一個全新的變種,並且在計算機系統運行後無進程,大大加大了發現的難度,所以目前大多數殺毒軟件都對此毫無反應,所以我們建議用戶不要輕易在MSN上接收好友發過來的莫名其妙的文件.

*******************

你中的同這個差不多, 試用同一方法但改用你自己病毒的名取代.  ( 在刪除的輸入名稱時, 以下有 myalbum2007.zip 名稱的改為 me2007.zip )

找一個懂電腦的人去幫你照以下刪除, 你可在system edit 內用search去找這個"sysprinters.dll"檔案, 便可找到該CLSID的字串. 照以下刪除整個字串及程序看可否解決.  這類刪除工作通常在安全模式下執行.

祝好運...  

^^^^^^^^^^^^^
MSN病毒 myalbum2007.zip 的清除方案

MSN性感相冊病毒又出變種了，按下面方法可以解決之:
檔案編號：CISRT2007079
病毒名稱：Backdoor.Win32.IRCBot.acd（Kaspersky）
病毒別名：Backdoor.Win32.IRCbot.w（瑞星）
Win32.Hack.MSNBot.ac.52736（毒霸）
病毒大小：52,736 字節
加殼方式：
樣本MD5：ee3ed79ffb63344b6e50458b68a7814a
樣本SHA1：15b1e629ef96ff8cba3fee127b8abc8a88b3f9df
發現時間：2007.7.2
更新時間：2007.7.2
關聯病毒：
傳播方式：通過MSN傳播

技術分析
==========

病毒通過MSN傳播，向MSN上的聯繫人發送虛假消息，同時將自身壓縮包偽裝成照片發送過去（如圖），如果對方接受並打開壓縮包中的病毒文件，那麼系統將被感染。和之前變種一樣，新變種仍然通過ShellServiceObjectDelayLoad加載。

病毒運行後在系統目錄生成包含自身副本的ZIP壓縮文件：
%Windows%\myalbum2007.zip其中包含的文件名是photo album-2007.scr

釋放一個dll文件注入進程：
%System%\sysprinters.dll

在註冊表ShellServiceObjectDelayLoad處創建啟動方式：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"

註：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為一串CLSID，病毒產生的這段CLSID不固定，如：{72E56A20-CFEE-4DD8-A10D-F1A43CBE46A2}

**************************

清除步驟
==========

1. 刪除病毒的啟動方式：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

以及對應的：

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"

2. 重新啟動計算機

3. 刪除文件：
%Windows%\myalbum2007.zip
%System%\sysprinters.dll
%userprofile%\new.txt