• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

賽迪獨家:實戰清除MSN病毒NEW PHOTO(圖)

【賽迪網-IT技術獨家】近日中了傳說中通過MSN傳播的NEW PHOTO病毒。一個很頑固的病毒,殺起來特麻煩。此病毒禁用了註冊表和任務管理器,就連開始菜單中關閉計算機按鈕也沒有了。百度主頁可以上網,但百度知道卻打不開。從網上找了很多種辦法,用來恢復註冊表和任務管理器,但都沒成功。

中毒經歷

剛開始的時候,是接到一個關於電腦報價的壓縮包,由於是認識的人發送,一時降低了警覺,結果打開後中招。

先是在MSN上聊天後發現電腦無法關機,提示被限制。如圖所示:

無法正常關機

強行關機重啟後發現關機按鈕消失,註冊表編輯器、任務管理器打不開。

關機按鈕消失

註冊表被禁用

任務管理器被禁用

病毒簡單分析

病毒監視可移動儲存介質並向其寫入Autorun文件,文件內容格式如下(不一定完全一致):

[autorun]open=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315/folderopen.exeicon=%SystemRoot%/system32/SHELL32.dll,4action=Open folder to view filesshell/open=Openshell/open/command=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315/folderopen.exeshell/open/default=1

USB隨身碟圖標被Autorun.inf定義為文件夾樣式:

USB隨身碟圖標變為文件夾樣式

創建啟動項並以隱藏進程運行:

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify   cryptcrypts.dllc:/windows/system32/crypts.dllHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run   Symantec Control Clientsymclisvc.exeNEW PHOTO(Not verified) Adobe PhotoShop CS3 Product1.03.0023.0000c:/windows/system32/symclisvc.exe   Symantec Control Clientsymconfig.exeNEW PHOTO(Not verified) Adobe PhotoShop CS3 Product1.03.0023.0000c:/windows/system32/symconfig.exe

通過註冊表限制用戶關閉計算機:

註冊表關機鍵值被修改

以圖片形式通過MSN傳播:

病毒本體文件

在虛擬環境下不運行,且劫持與安全相關的大量域名。

…………127.0.0.1	www.dazhizhu.cn127.0.0.1	www.f-secure.com127.0.0.1	wwww.mcafee.com127.0.0.1	www.avp.com127.0.0.1	liveupdate.symantecliveupdate.com127.0.0.1	www.avast.com127.0.0.1	www.duba.net…………

註:病毒插入了多個換行以誤導用戶認為hosts文件不存在域名劫持。

實戰鬥病毒

用Sreng掃瞄,發現可疑文件:

C:/WINDOWS/system32/symclisvc.exeC:/WINDOWS/system32/drivers/ADProt.sysC:/WINDOWS/system32/drivers/bfafgefi.sysC:/WINDOWS/system32/drivers/heighdid.sysD:/Program Files/Tencent/TM/TMDlls/npkcrypt.sysC:/WINDOWS/system32/mstscax.dll

下載刪除工具(無敵刪除器DelayDelFile) (頑固文件刪除工具DelayDelFile.rar),解壓並打開DelayDelFile,複製上面可疑文件列表(包含路徑)-->粘貼進(Ctrl+V)第一個空白框中-->按「添加」-->點擊「刪除」按鈕。

發現symclisvc.exe文件在計算機重新啟動後還會出現,用Sreng進行簡單修復,發現啟動項開機運行中始終存在一個NEW PHOTO。

而且此時發現,網上給出的幾種解決註冊表被禁用的方法都無效(後來總結經驗,感覺應該是由於當時疏忽,沒在系統管理員權限下使用那些方法的緣故)。

一度考慮用WinPE盤來刪除那個頑固文件,再回頭收拾註冊表。後來在網上下載了數個註冊表解禁工具後,終於找到一個不錯的,打開了註冊表。

工具下載:註冊表清理器 regclear.exe

本人就是用此工具恢復中毒機器的註冊表

此時,回到C盤,發現頑固的symclisvc.exe文件已經消失,啟動項開機運行中也沒有了相應鍵值。(這個地方比較奇怪,估計有可能是註冊表的恢復,觸發了DelayDelFile沒能繼續完成的操作所致。)

恢復了註冊表,下來的事情就是恢復任務管理器了。通過註冊表來恢復。打開記事本,把下面的內容保存成.reg文件,然後雙擊導入恢復。

REGEDIT4 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] "DisableTaskmgr"=dword:00000000 (最後一行留一空行)

主要地方都恢復了,就剩下「關閉計算機」按鈕了,這個就簡單了。重新啟動計算機,用管理員賬戶登錄計算機。在組策略裡設置好,重新啟動。這次進自己的賬戶就可以了。進入桌面,打開「開始」菜單,「關閉計算機」按鈕就出來了。

提示:一定要在管理員賬戶進行操作

現在,任務管理器、註冊表、關機選項都恢復了,病毒文件殘留本體也被刪除。

總結

1、清理病毒的操作最好都在管理員權限下進行;

2、注意病毒文件與註冊表的關聯性;

3、注意異常現象的出現;

4、最重要的,即便是熟悉者在MSN等即時聊天工具上發過來的鏈接、壓縮包等下載文件,都要進行多次詢問。確定無問題後,還要注意鏈接是否存在異常,比如用數字「1」代替字母「l」。

經過艱苦奮鬥,終於清除了病毒,看著自己的勞動成果--恢復正常的系統,繼續工作!

(

加入好友line@vga9721w
線上客服
@hd119