实战清除MSN病毒NEW PHOTO(图)

实战斗病毒

用Sreng扫描，发现可疑文件：

C:\WINDOWS\system32\symclisvc.exe
C:\WINDOWS\system32\drivers\ADProt.sys
C:\WINDOWS\system32\drivers\bfafgefi.sys
C:\WINDOWS\system32\drivers\heighdid.sys
D:\Program Files\Tencent\TM\TMDlls\npkcrypt.sys
C:\WINDOWS\system32\mstscax.dll

下载删除工具(无敌删除器DelayDelFile) (顽固文件删除工具DelayDelFile.rar)，解压并打开DelayDelFile，复制上面可疑文件列表(包含路径)——>粘贴进(Ctrl+V)第一个空白框中——>按“添加”——>点击“删除”按钮。

发现symclisvc.exe文件在计算机重新启动后还会出现，用Sreng进行简单修复，发现启动项开机运行中始终存在一个NEW PHOTO。

而且此时发现，网上给出的几种解决注册表被禁用的方法都无效(后来总结经验，感觉应该是由于当时疏忽，没在系统管理员权限下使用那些方法的缘故)。

一度考虑用WinPE盘来删除那个顽固文件，再回头收拾注册表。后来在网上下载了数个注册表解禁工具后，终于找到一个不错的，打开了注册表。

工具下载：注册表清理器 regclear.exe

此时，回到C盘，发现顽固的symclisvc.exe文件已经消失，启动项开机运行中也没有了相应键值。(这个地方比较奇怪，估计有可能是注册表的恢复，触发了DelayDelFile没能继续完成的操作所致。)

恢复了注册表，下来的事情就是恢复任务管理器了。通过注册表来恢复。打开记事本，把下面的内容保存成.reg文件，然后双击导入恢复。

REGEDIT4 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] 

"DisableTaskmgr"=dword:00000000 

(最后一行留一空行)

主要地方都恢复了，就剩下“关闭计算机”按钮了，这个就简单了。重新启动计算机，用管理员账户登录计算机。在组策略里设置好，重新启动。这次进自己的账户就可以了。进入桌面，打开“开始”菜单，“关闭计算机”按钮就出来了。

现在，任务管理器、注册表、关机选项都恢复了，病毒文件残留本体也被删除。

总结

1、清理病毒的操作最好都在管理员权限下进行；

2、注意病毒文件与注册表的关联性；

3、注意异常现象的出现；

4、最重要的，即便是熟悉者在MSN等即时聊天工具上发过来的链接、压缩包等下载文件，都要进行多次询问。确定无问题后，还要注意链接是否存在异常，比如用数字“1”代替字母“l”。

经过艰苦奋斗，终于清除了病毒，看着自己的劳动成果——恢复正常的系统，继续工作！

上一页  [1] [2]