MSN照片病毒变种查杀的办法

今天突然爆发msn照片变种病毒因为网络庞大全国各地的分公司都有连接据说病毒是从重庆分公司那边传到总部来的，不容想的时间马上找专杀，结果因为是12月份变种，杀毒软件和专杀工具根本就无法察觉病毒。这样病毒的爆发几乎是不可遏制的很多人都在不知道问题的情况下接收并查看了msn上传过来的照片病毒造成交替感染。

首先通过公司e-mail系统发布通知给大家希望大家看到通知后不要再接受文件

其次在已经搭建的虚拟机服务器上建了一个病毒测试机，用Total Uninstall监控病毒修改注册表和添加文件的情况

还好在拿到最终结果后放心了，文件产生的不算多只有两个并且，注册表值修改了三处。

最终根据监控情况编写了一个批处理和一个注册表文件问题解决

附监控情况和处理办法

被监视的应用程序
img2007-12.JPEG
监视于
2007-12-18 14:04:30
被监视应用程序路径
"C:\Documents and Settings\Administrator\桌面\photo2007-12\img2007-12.JPEG.com"
安装前快照名称
2007-12-18 14:03:27
安装后快照名称
2007-12-18 14:04:27
比较配置名称
默认

检测到的更改
文件系统
    创建的文件夹 :     0
    删除的文件夹 :     0
    创建的文件      :     2
    删除的文件      :     0
    修改的文件     :     0
    大小                    : 42.75 KB
注册表
    创建的键      :     0
    删除的键      :     0
    创建的值   :     2
    删除的值   :     0
    修改的值 :     1
    大小                    : 116 B
日志文件名
C:\Documents and Settings\Administrator\Local Settings\Application Data\Martau\Total Uninstall 4\MonitoredApps\img2007-12.JPEG.tun

文件系统详细信息 [查看: 全部详细信息] (全部)
--------------------------
    (文件夹) C:\WINDOWS
       (+)(文件) cservs.exe = 2007-12-18 3:30, 21821 字节, RHS
       (+)(文件) photo2007-12.zip = 2007-12-18 14:04, 21957 字节, A

注册表详细信息 [查看: 全部详细信息] (全部)
-------------------------
    (注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
       (+)(注册表值) win32serv = REG_SZ, "cservs.exe"
    (注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
       (*)(注册表值) NextDetectionTime
        REG_SZ, "2007-12-18 05:56:56" ==> REG_SZ, "2007-12-18 11:04:16"
       (+)(注册表值) UnableToDetectTime = REG_SZ, "2007-12-18 06:04:16"

根据下边的日志可以找到解决办法

"img2007-12.JPEG" - 卸载日志
--------------------------------------------------------------------------------

(确定)错误: 0   警告: 0 成功操作: 5
(确定)删除文件: C:\WINDOWS\photo2007-12.zip
    (确定)确定
(确定)删除文件: C:\WINDOWS\cservs.exe
    (确定)确定
(确定)删除注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
    (确定)确定
(确定)删除注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@win32serv
    (确定)确定
(确定)还原注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
    (确定)确定

生成解决文件

假设建立以一个 del.bat内容

taskkill /IM cservs.exe
del C:\WINDOWS\photo2007-12.zip
del C:\WINDOWS\cservs.exe
reg import img2007-12.JPEG.卸载1.reg

建立一个注册表文件 img2007-12.JPEG.卸载1.reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"win32serv"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"NextDetectionTime"="2007-12-18 05:56:56"
"UnableToDetectTime"=-

两个文件一定要放在同一个目录里 运行 del.bat 问题解决了