賽迪獨家：實戰清除MSN病毒NEW PHOTO(圖)

【賽迪網-IT技術獨家】近日中了傳說中通過MSN傳播的NEW PHOTO病毒。一個很頑固的病毒，殺起來特麻煩。此病毒禁用了註冊表和任務管理器，就連開始菜單中關閉計算機按鈕也沒有了。百度主頁可以上網，但百度知道卻打不開。從網上找了很多種辦法，用來恢復註冊表和任務管理器，但都沒成功。

中毒經歷

剛開始的時候，是接到一個關於電腦報價的壓縮包，由於是認識的人發送，一時降低了警覺，結果打開後中招。

先是在MSN上聊天後發現電腦無法關機，提示被限制。如圖所示：

強行關機重啟後發現關機按鈕消失，註冊表編輯器、任務管理器打不開。

病毒簡單分析

病毒監視可移動儲存介質並向其寫入Autorun文件，文件內容格式如下(不一定完全一致)：

[autorun]open=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315/folderopen.exeicon=%SystemRoot%/system32/SHELL32.dll,4action=Open folder to view filesshell/open=Openshell/open/command=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315/folderopen.exeshell/open/default=1

USB隨身碟圖標被Autorun.inf定義為文件夾樣式：

創建啟動項並以隱藏進程運行：

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify   cryptcrypts.dllc:/windows/system32/crypts.dllHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run   Symantec Control Clientsymclisvc.exeNEW PHOTO(Not verified) Adobe PhotoShop CS3 Product1.03.0023.0000c:/windows/system32/symclisvc.exe   Symantec Control Clientsymconfig.exeNEW PHOTO(Not verified) Adobe PhotoShop CS3 Product1.03.0023.0000c:/windows/system32/symconfig.exe

通過註冊表限制用戶關閉計算機：

以圖片形式通過MSN傳播：

在虛擬環境下不運行，且劫持與安全相關的大量域名。

…………127.0.0.1	www.dazhizhu.cn127.0.0.1	www.f-secure.com127.0.0.1	wwww.mcafee.com127.0.0.1	www.avp.com127.0.0.1	liveupdate.symantecliveupdate.com127.0.0.1	www.avast.com127.0.0.1	www.duba.net…………

註：病毒插入了多個換行以誤導用戶認為hosts文件不存在域名劫持。

實戰鬥病毒

用Sreng掃瞄，發現可疑文件：

C:/WINDOWS/system32/symclisvc.exeC:/WINDOWS/system32/drivers/ADProt.sysC:/WINDOWS/system32/drivers/bfafgefi.sysC:/WINDOWS/system32/drivers/heighdid.sysD:/Program Files/Tencent/TM/TMDlls/npkcrypt.sysC:/WINDOWS/system32/mstscax.dll

下載刪除工具(無敵刪除器DelayDelFile) (頑固文件刪除工具DelayDelFile.rar)，解壓並打開DelayDelFile，複製上面可疑文件列表(包含路徑)－－>粘貼進(Ctrl+V)第一個空白框中－－>按「添加」－－>點擊「刪除」按鈕。

發現symclisvc.exe文件在計算機重新啟動後還會出現，用Sreng進行簡單修復，發現啟動項開機運行中始終存在一個NEW PHOTO。

而且此時發現，網上給出的幾種解決註冊表被禁用的方法都無效(後來總結經驗，感覺應該是由於當時疏忽，沒在系統管理員權限下使用那些方法的緣故)。

一度考慮用WinPE盤來刪除那個頑固文件，再回頭收拾註冊表。後來在網上下載了數個註冊表解禁工具後，終於找到一個不錯的，打開了註冊表。

工具下載：註冊表清理器 regclear.exe

此時，回到C盤，發現頑固的symclisvc.exe文件已經消失，啟動項開機運行中也沒有了相應鍵值。(這個地方比較奇怪，估計有可能是註冊表的恢復，觸發了DelayDelFile沒能繼續完成的操作所致。)

恢復了註冊表，下來的事情就是恢復任務管理器了。通過註冊表來恢復。打開記事本，把下面的內容保存成.reg文件，然後雙擊導入恢復。

REGEDIT4 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] "DisableTaskmgr"=dword:00000000 (最後一行留一空行)

主要地方都恢復了，就剩下「關閉計算機」按鈕了，這個就簡單了。重新啟動計算機，用管理員賬戶登錄計算機。在組策略裡設置好，重新啟動。這次進自己的賬戶就可以了。進入桌面，打開「開始」菜單，「關閉計算機」按鈕就出來了。

現在，任務管理器、註冊表、關機選項都恢復了，病毒文件殘留本體也被刪除。

總結

1、清理病毒的操作最好都在管理員權限下進行；

2、注意病毒文件與註冊表的關聯性；

3、注意異常現象的出現；

4、最重要的，即便是熟悉者在MSN等即時聊天工具上發過來的鏈接、壓縮包等下載文件，都要進行多次詢問。確定無問題後，還要注意鏈接是否存在異常，比如用數字「1」代替字母「l」。

經過艱苦奮鬥，終於清除了病毒，看著自己的勞動成果－－恢復正常的系統，繼續工作！

(