实战清除MSN病毒NEW PHOTO

2023-01-28 05:17:59
来源：其他
在手机上看

扫一扫立即进入手机端

近日中了传说中通过MSN传播的NEW PHOTO病毒。一个很顽固的病毒，杀起来特麻烦。此病毒禁用了注册表和任务管理器，就连开始菜单中关闭计算机按钮也没有了。百度主页可以上网，但百度知道却打不开。从网上找了很多种办法，用来恢复注册表和任务管理器，但都没成功。

中毒经历

刚开始的时候，是接到一个关于电脑报价的压缩包，由于是认识的人发送，一时降低了警觉，结果打开后中招。

先是在MSN上聊天后发现电脑无法关机，提示被限制。如图所示：

无法正常关机

强行关机重启后发现关机按钮消失，注册表编辑器、任务管理器打不开。

关机按钮消失

注册表被禁用

任务管理器被禁用

病毒简单分析

病毒监视可移动存储介质并向其写入Autorun文件，文件内容格式如下(不一定完全一致)：

[autorun] open=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe icon=%SystemRoot%\system32\SHELL32.dll,4 action=Open folder to view files shell\open=Open shell\open\command=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe shell\open\default=1

U盘图标被Autorun.inf定义为文件夹样式：

U盘图标变为文件夹样式

创建启动项并以隐藏进程运行：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify crypt crypts.dll c:\windows\system32\crypts.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Symantec Control Client symclisvc.exe NEW PHOTO (Not verified) adobe photoshop CS3 Product 1.03.0023.0000 c:\windows\system32\symclisvc.exe Symantec Control Client symconfig.exe NEW PHOTO (Not verified) Adobe PhotoShop CS3 Product 1.03.0023.0000 c:\windows\system32\symconfig.exe

通过注册表限制用户关闭计算机：

注册表关机键值被修改

以图片形式通过MSN传播：

病毒本体文件

在虚拟环境下不运行，且劫持与安全相关的大量域名。

………… 127.0.0.1 www.dazhizhu.cn 127.0.0.1 www.f-secure.com 127.0.0.1 wwww.mcafee.com 127.0.0.1 www.avp.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.avast.com 127.0.0.1 www.duba.net …………

注：病毒插入了多个换行以误导用户认为hosts文件不存在域名劫持。

实战斗病毒

用Sreng扫描，发现可疑文件：

C:\WINDOWS\system32\symclisvc.exe C:\WINDOWS\system32\drivers\ADProt.sys C:\WINDOWS\system32\drivers\bfafgefi.sys C:\WINDOWS\system32\drivers\heighdid.sys D:\Program Files\Tencent\TM\TMDlls\npkcrypt.sys C:\WINDOWS\system32\mstscax.dll

下载删除工具(无敌删除器DelayDelFile) (顽固文件删除工具DelayDelFile.rar)，解压并打开DelayDelFile，复制上面可疑文件列表(包含路径)——>粘贴进(Ctrl+V)第一个空白框中——>按“添加“——>点击“删除“按钮。

发现symclisvc.exe文件在计算机重新启动后还会出现，用Sreng进行简单修复，发现启动项开机运行中始终存在一个NEW PHOTO。

而且此时发现，网上给出的几种解决注册表被禁用的方法都无效(后来总结经验，感觉应该是由于当时疏忽，没在系统管理员权限下使用那些方法的缘故)。

一度考虑用WinPE盘来删除那个顽固文件，再回头收拾注册表。后来在网上下载了数个注册表解禁工具后，终于找到一个不错的，打开了注册表。

工具下载：注册表清理器 regclear.exe