时间:2015-06-28 00:00 来源:IT猫扑网|http://www.itmop.com/ 作者:网管联盟 我要评论(0)
近日中了传说中通过MSN传播的NEW PHOTO病毒。一个很顽固的病毒,杀起来特麻烦。此病毒禁用了注册表和任务管理器,就连开始菜单中关闭计算机按钮也没有了。百度主页可以上网,但百度知道却打不开。从网上找了很多种办法,用来恢复注册表和任务管理器,但都没成功。
中毒经历
刚开始的时候,是接到一个关于电脑报价的压缩包,由于是认识的人发送,一时降低了警觉,结果打开后中招。
先是在MSN上聊天后发现电脑无法关机,提示被限制。如图所示:
强行关机重启后发现关机按钮消失,注册表编辑器、任务管理器打不开。
关机按钮消失
注册表被禁用
任务管理器被禁用
病毒简单分析
病毒监视可移动存储介质并向其写入Autorun文件,文件内容格式如下(不一定完全一致):
|
U盘图标被Autorun.inf定义为文件夹样式:
U盘图标变为文件夹样式
创建启动项并以隐藏进程运行:
|
通过注册表限制用户关闭计算机:
以图片形式通过MSN传播:
病毒本体文件
在虚拟环境下不运行,且劫持与安全相关的大量域名。
|
注:病毒插入了多个换行以误导用户认为hosts文件不存在域名劫持。
实战斗病毒
用Sreng扫描,发现可疑文件:
|
下载删除工具(无敌删除器DelayDelFile) (顽固文件删除工具DelayDelFile.rar),解压并打开DelayDelFile,复制上面可疑文件列表(包含路径)——>粘贴进(Ctrl+V)第一个空白框中——>按&添加&——>点击&删除&按钮。
发现symclisvc.exe文件在计算机重新启动后还会出现,用Sreng进行简单修复,发现启动项开机运行中始终存在一个NEW PHOTO。
而且此时发现,网上给出的几种解决注册表被禁用的方法都无效(后来总结经验,感觉应该是由于当时疏忽,没在系统管理员权限下使用那些方法的缘故)。
一度考虑用WinPE盘来删除那个顽固文件,再回头收拾注册表。后来在网上下载了数个注册表解禁工具后,终于找到一个不错的,打开了注册表。
工具下载:注册表清理器 regclear.exe
此时,回到C盘,发现顽固的symclisvc.exe文件已经消失,启动项开机运行中也没有了相应键值。(这个地方比较奇怪,估计有可能是注册表的恢复,触发了DelayDelFile没能继续完成的操作所致。)
恢复了注册表,下来的事情就是恢复任务管理器了。通过注册表来恢复。打开记事
关键词标签:病毒,清除,实战,注册表
相关阅读 发Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 杀毒36计之手动清除PcShare木马_PcShare木马清除方法 注册表被修改的原因及解决办法 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活码/授权许可文件Key 卡巴斯基2016授权文件_卡巴斯基2016用授权文件KEY激活教程(完美激活) 卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活码/授权许可文件Key
热门文章
安全专家谈:玩游戏后IE浏览器首页被篡改
教你揪出伪装系统木马并清除
Windows 17年的老漏洞(VDM 0day)须警惕
教你如何清除Spoolsv.exe木马
网友分享:ESET NOD32安全套装设置技巧
用小工具巧杀计算机病毒
人气排行 卡巴斯基2017激活教程_卡巴斯基2017用授权文件KEY激活的方法(完美激活) 解决alexa.exe自动弹出网页病毒 卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活码/授权许可文件Key comine.exe 病毒清除方法 ekrn.exe占用CPU 100%的解决方案 木马下载者Trojan-Downloader.Win32.FakeFolder.c手工清除解决方案 发Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 一招搞定几万种木马----→ 注册表权限设置 svhost32.exe杀毒方法 光盘在刻录时进入了病毒的解决办法 地下城与勇士游戏盗号木马Trojan-PSW.Win32.OnLineGames.esmg手工清除解决方案 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活码/授权许可文件Key
查看所有0条评论>>