【賽迪網-IT技術獨家】近日中了傳說中通過MSN傳播的NEW PHOTO病毒。一個很頑固的病毒,殺起來特麻煩。此病毒禁用了註冊表和任務管理器,就連開始菜單中關閉計算機按鈕也沒有了。百度主頁可以上網,但百度知道卻打不開。從網上找了很多種辦法,用來恢復註冊表和任務管理器,但都沒成功。
中毒經歷
剛開始的時候,是接到一個關於電腦報價的壓縮包,由於是認識的人發送,一時降低了警覺,結果打開後中招。
先是在MSN上聊天後發現電腦無法關機,提示被限制。如圖所示:
強行關機重啟後發現關機按鈕消失,註冊表編輯器、任務管理器打不開。
病毒簡單分析
病毒監視可移動儲存介質並向其寫入Autorun文件,文件內容格式如下(不一定完全一致):
|
USB隨身碟圖標被Autorun.inf定義為文件夾樣式:
創建啟動項並以隱藏進程運行:
|
通過註冊表限制用戶關閉計算機:
以圖片形式通過MSN傳播:
在虛擬環境下不運行,且劫持與安全相關的大量域名。
|
註:病毒插入了多個換行以誤導用戶認為hosts文件不存在域名劫持。
實戰鬥病毒
用Sreng掃瞄,發現可疑文件:
|
下載刪除工具(無敵刪除器DelayDelFile) (頑固文件刪除工具DelayDelFile.rar),解壓並打開DelayDelFile,複製上面可疑文件列表(包含路徑)-->粘貼進(Ctrl+V)第一個空白框中-->按「添加」-->點擊「刪除」按鈕。
發現symclisvc.exe文件在計算機重新啟動後還會出現,用Sreng進行簡單修復,發現啟動項開機運行中始終存在一個NEW PHOTO。
而且此時發現,網上給出的幾種解決註冊表被禁用的方法都無效(後來總結經驗,感覺應該是由於當時疏忽,沒在系統管理員權限下使用那些方法的緣故)。
一度考慮用WinPE盤來刪除那個頑固文件,再回頭收拾註冊表。後來在網上下載了數個註冊表解禁工具後,終於找到一個不錯的,打開了註冊表。
工具下載:註冊表清理器 regclear.exe
此時,回到C盤,發現頑固的symclisvc.exe文件已經消失,啟動項開機運行中也沒有了相應鍵值。(這個地方比較奇怪,估計有可能是註冊表的恢復,觸發了DelayDelFile沒能繼續完成的操作所致。)
恢復了註冊表,下來的事情就是恢復任務管理器了。通過註冊表來恢復。打開記事本,把下面的內容保存成.reg文件,然後雙擊導入恢復。
|
主要地方都恢復了,就剩下「關閉計算機」按鈕了,這個就簡單了。重新啟動計算機,用管理員賬戶登錄計算機。在組策略裡設置好,重新啟動。這次進自己的賬戶就可以了。進入桌面,打開「開始」菜單,「關閉計算機」按鈕就出來了。
現在,任務管理器、註冊表、關機選項都恢復了,病毒文件殘留本體也被刪除。
總結
1、清理病毒的操作最好都在管理員權限下進行;
2、注意病毒文件與註冊表的關聯性;
3、注意異常現象的出現;
4、最重要的,即便是熟悉者在MSN等即時聊天工具上發過來的鏈接、壓縮包等下載文件,都要進行多次詢問。確定無問題後,還要注意鏈接是否存在異常,比如用數字「1」代替字母「l」。
經過艱苦奮鬥,終於清除了病毒,看著自己的勞動成果--恢復正常的系統,繼續工作!
(