实战清除MSN病毒NEW PHOTO

2008-9-5塞迪网佚名

【大中小】

近日中了传说中通过MSN传播的NEW PHOTO病毒。一个很顽固的病毒，杀起来特麻烦。此病毒禁用了注册表和任务管理器，就连开始菜单中关闭计算机按钮也没有了。百度主页可以上网，但百度知道却打不开。从网上找了很多种办法，用来恢复注册表和任务管理器，但都没成功。

中毒经历

刚开始的时候，是接到一个关于电脑报价的压缩包，由于是认识的人发送，一时降低了警觉，结果打开后中招。

先是在MSN上聊天后发现电脑无法关机，提示被限制。如图所示：

无法正常关机

强行关机重启后发现关机按钮消失，注册表编辑器、任务管理器打不开。

关机按钮消失

注册表被禁用

任务管理器被禁用

病毒简单分析

病毒监视可移动存储介质并向其写入Autorun文件，文件内容格式如下(不一定完全一致)：

[autorun]
open=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe
shell\open\default=1

U盘图标被Autorun.inf定义为文件夹样式：

U盘图标变为文件夹样式

创建启动项并以隐藏进程运行：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
   crypt
crypts.dll
c:\windows\system32\crypts.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   Symantec Control Client
symclisvc.exe
NEW PHOTO
(Not verified) Adobe PhotoShop CS3 Product
1.03.0023.0000
c:\windows\system32\symclisvc.exe
   Symantec Control Client
symconfig.exe
NEW PHOTO
(Not verified) Adobe PhotoShop CS3 Product
1.03.0023.0000
c:\windows\system32\symconfig.exe

通过注册表限制用户关闭计算机：

注册表关机键值被修改

以图片形式通过MSN传播：

病毒本体文件

本文来源：塞迪网作者：佚名

上一篇文章：挑战IE 谷歌Chrome浏览器测试版提供下载

下一篇文章：专家揭秘美国最大黑客盗窃案

易游无盘回写清除工具   2016年网咖装修实战经验汇总篇   萍乡一键钟情网咖礼仪实战培训
在Win7/Win8电脑彻底清除Win10升级广告   网管必知:清除本地DNS缓存的技巧   天猫搜狗Better Me大赛携众大咖决战清华大学
苹果音乐即将清除电台  变身纯音乐服务   教你怎样清除网吧文件中捆绑类木马   彻底清除win7系统文件夹小黄锁图标
Win7系统有哪些功能是必须清除的

聚合推荐

2022年网吧恢复营业时间网吧卫生网吧电脑配置开网吧网吧键盘网吧配置网吧GHOST ROS 网吧软件故障解决网众无盘网吧游戏菜单网吧活动网吧优化网吧精品网吧新手

声明

声明：本站所发表的文章、评论及图片仅代表作者本人观点，与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益，请作者持权属证明与本网联系，我们将及时更正、删除，谢谢。 Email:support@txwb.com，系统开号，技术支持，服务联系微信：_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品，各位转载时请注明来源链接！

天下网吧·网吧天下