通过MSN传播的病毒IMG024.JPG.zip ehSched.exe解决教程_电脑软硬件应用网

　　病毒名称：Backdoor.Win32.Rbot.csm（Kaspersky）
　　病毒大小：37,888 字节
　　样本MD5：2a6458b5fc9214eaa9f3af82399a10a8
　　样本SHA1：7acd9a9111874c0c8f65207c022b33cdc4cc3c79
　　传播方式：通过MSN传播

　　技术分析
　　==========

　　MSN蠕虫变种，向MSN联系人发送欺骗文字消息和带毒压缩包，当联系人接受并打开带毒压缩包中的病毒文件时系统受到感染。

　　病毒运行后复制自身到系统目录：
　　%windir%\system\ehSched.exe

　　生成包含自身的ZIP压缩包：
　　%windir%\system\IMG024.JPG.zip
　　其中包含的病毒文件名是IMG024.JPG.com。

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehSched"="%Windows%\system\ehSched.exe"

　　根据染毒系统语言向MSN联系人发送以下文字和带毒压缩包IMG024.JPG.zip：

oye voy a poner esa foto de nosotros en mi myspace :->
jaja recuerda cuando tuviste el pelo asioye voy a agregar esa foto a mi blog ya
jaja debes poner esa foto como foto principal en tu myspace o algo :D
hola esas son las fotos :>
esa foto de tu y yo la voy a poner en myspace
voy a poner esa foto de nosotros en mi blog
yaoye ponga esa foto en tu myspace como la foto principal
jajaja yo me recuerdo cuando tuvistes el pelo asiay no ese pelo fue lo mas chistoso...q
estabas pensando ehi metter?quest'immagine di noi sul mio myspace :>
jaja ricordo quando lei aveva i suoi capelli come questoehi aggiunger?quest'immagine di noi al mio weblog
jaja lei dovrebbe fare quest'il suo pic predefinito sul myspace o qualcosa :D
metta questi fotos in suo pagina myspace
Qui sono il fotos di ciCaricher?questa foto al mio myspace
adessoIo ricordo quando abbiamo portato questa fotoPer favore nessuno lasciare vede le nostre foto
he werde ich diese Abbildung von uns auf mein myspace setzenlol erinnern sich, an als Sie pflegten, Ihr Haar so zu habenhe werde ich diese Abbildung von uns meinem weblog hinzuf黦en
Haha sollten Sie dieses Ihre R點kstellung auf myspace oder etwas pic bilden:D
he ich zeige Ihnen diese Abbildung von mir 黚erhaupt?Wimmern!
Blick auf diese alte Abbildung, die ich:
fand |m鯿hten den pics von meinen Ferien sehen?
wil je fotos zien van mijn vakantie wow!
moet je eens kijken welke foto ik nu gevonden heb
he heb je ooit deze foto laten zien ?
haha you moet die je standaard foto maken op hyves of myspace
hey ik voeg deze foto van ons ff toe op mijn weblog
lol ik kan me nog herrinneren toen je haar zoals dit had
hey i zet deze foto van ons even op mijn myspace :>
voulez voir le PICS de mes vacances?
d閒aut de la reproduction sonore !
regard ?cette vieille image que j'ai trouv閑 :|
est-ce qu'h?je vous montre jamais cette image de moi?
haha vous devriez rendre ceci votre d閒aut pic sur le myspace ou quelque chose :D
h?je vais ajouter cette image de nous ?mon weblog le
lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci
h?je vais mettre cette image de nous sur mon myspace :>
wanna see the pics from my vacation? :>
wow! look at this old picture i found :|
hey did i ever show you this picture of me?
haha you should make this your default pic on myspace or something :D
hey i'm going to add this picture of us to my weblog
lol remember when you used to have your hair like this
hey i'm gonna put this picture of us on my myspace :>

　　尝试连接远程IRC：bitch2.saymai.name

　　通过修改注册表修改系统安全方面的一些设置：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Start"=dword:00000004

　　尝试删除管理共享：

　　C$-Z$
　　ADMIN$
　　IPC$

　　结束以下服务进程：

　　Security Center
　　Windows Firewall/ICS
　　Remote Registry
　　Telnet
　　wscsvc
　　SharedAccess
　　Messenger

　　删除Mydoom、Netsky、Bagle、Sobig、Blaster等蠕虫病毒的启动项。

　　Mutex: 7xUxkP34

　　清除步骤
　　==========

　　1. 删除病毒启动项（开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehSched"="%Windows%\system\ehSched.exe"

　　2. 重新启动计算机

　　3. 删除病毒文件（详细步骤：到down.45its.com下载IceSword120_cn.zip冰刃－打开－文件－依次找到病毒文件删除即可）：
%windir%\system\IMG024.JPG.zip
%windir%\system\ehSched.exe

　　4. 恢复被病毒修改过的注册表信息，以下为CISRT建议设置数据内容（开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作）：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="20000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Start"=dword:00000004

　　或根据自己的具体情况进行设置。

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…