【IT粉丝网-IT技术独家】近日中了传说中通过MSN传播的NEW PHOTO病毒 。一个很顽固的病毒 ,杀起来特麻烦。此病毒 禁用了注册表 和任务管理器,就连开始菜单中关闭计算机 按钮也没有了。百度主页可以上网,但百度知道却打不开。从网上找了很多种办法,用来恢复注册表 和任务管理器,但都没成功。
中毒经历
刚开始的时候,是接到一个关于电脑报价的压缩包,由于是认识的人发送,一时降低了警觉,结果打开后中招。
先是在MSN上聊天后发现电脑无法关机,提示被限制。如图所示:
无法正常关机 强行关机重启后发现关机按钮消失,注册表 编辑器、任务管理器打不开。
关机按钮消失
注册表 被禁用
任务管理器被禁用 病毒 简单分析
病毒 监视可移动存储介质并向其写入Autorun文件,文件内容格式如下(不一定完全一致):
[autorun]open=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315/folderopen.exeicon=%SystemRoot%/system32/SHELL32.dll,4action=Open folder to view filesshell/open=Openshell/open/command=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315/folderopen.exeshell/open/default=1
U盘图标被Autorun.inf定义为文件夹样式:
U盘图标变为文件夹样式 创建启动项并以隐藏进程运行:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify cryptcrypts.dllc:/windows/system32/crypts.dllHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Symantec Control Clientsymclisvc.exeNEW PHOTO(Not verified) Adobe PhotoShop CS3 Product1.03.0023.0000c:/windows/system32/symclisvc.exe Symantec Control Clientsymconfig.exeNEW PHOTO(Not verified) Adobe PhotoShop CS3 Product1.03.0023.0000c:/windows/system32/symconfig.exe
通过注册表 限制用户关闭计算机 :
注册表 关机键值被修改以图片形式通过MSN传播:
病毒 本体文件在虚拟环境 下不运行,且劫持与安全相关的大量域名。
…………127.0.0.1 www.dazhizhu.cn127.0.0.1 www.f-secure.com127.0.0.1 wwww.mcafee.com127.0.0.1 www.avp.com127.0.0.1 liveupdate.symantecliveupdate.com127.0.0.1 www.avast.com127.0.0.1 www.duba.net…………
注:病毒 插入了多个换行以误导用户认为hosts文件不存在域名劫持。
实战斗病毒
用Sreng扫描,发现可疑文件:
C:/WINDOWS/system32/symclisvc.exeC:/WINDOWS/system32/drivers/ADProt.sysC:/WINDOWS/system32/drivers/bfafgefi.sysC:/WINDOWS/system32/drivers/heighdid.sysD:/Program Files/Tencent/TM/TMDlls/npkcrypt.sysC:/WINDOWS/system32/mstscax.dll
下载删除工具(无敌删除器DelayDelFile) (顽固文件删除工具DelayDelFile.rar
发现symclisvc.exe文件在计算机 重新启动后还会出现,用Sreng进行简单修复,发现启动项开机运行中始终存在一个NEW PHOTO。
而且此时发现,网上给出的几种解决注册表 被禁用的方法都无效(后来总结 经验,感觉应该是由于当时疏忽,没在系统管理 员权限下使用那些方法的缘故)。
一度考虑用WinPE盘来删除那个顽固文件,再回头收拾注册表 。后来在网上下载了数个注册表 解禁工具后,终于找到一个不错的,打开了注册表 。
工具下载:注册表 清理器 regclear.exe
本人就是用此工具恢复中毒机器的注册表 此时,回到C盘,发现顽固的symclisvc.exe文件已经消失,启动项开机运行中也没有了相应键值。(这个地方比较奇怪,估计有可能是注册表 的恢复,触发了DelayDelFile没能继续完成的操作所致。)
恢复了注册表 ,下来的事情就是恢复任务管理器了。通过注册表 来恢复。打开记事本,把下面的内容保存成.reg文件,然后双击导入恢复。
REGEDIT4 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] "DisableTaskmgr"=dword:00000000 (最后一行留一空行)
主要地方都恢复了,就剩下“关闭计算机 ”按钮了,这个就简单了。重新启动计算机 ,用管理员账户登录计算机 。在组策略里设置好,重新启动。这次进自己的账户就可以了。进入桌面,打开“开始”菜单,“关闭计算机 ”按钮就出来了。
提示:一定要在管理员账户进行操作 现在,任务管理器、注册表 、关机选项都恢复了,病毒 文件残留本体也被删除。
总结
1、清理病毒 的操作最好都在管理员权限下进行;
2、注意病毒 文件与注册表 的关联性;
3、注意异常现象的出现;
4、最重要的,即便是熟悉者在MSN等即时聊天工具上发过来的链接、压缩包等下载文件,都要进行多次询问。确定无问题后,还要注意链接是否存在异常,比如用数字“1”代替字母“l”。
经过艰苦奋斗,终于清除了病毒 ,看着自己的劳动成果——恢复正常的系统,继续工作!
(责任编辑:李磊)
上一篇: 技术角度详尽解析梦幻西游盗号器126976
复制本文链接(URL)发送给朋友:
