捌度空间导读:近日中了传说中通过MSN传播的NEW PHOTO病毒。一个很顽固的病毒,杀起来特麻烦。此病毒禁用了注册表和任 ...
近日中了传说中通过MSN传播的NEW PHOTO病毒。一个很顽固的病毒,杀起来特麻烦。此病毒禁用了注册表和任务管理器,就连开始菜单中关闭计算机按钮也没有了。百度主页可以上网,但百度知道却打不开。从网上找了很多种办法,用来恢复注册表和任务管理器,但都没成功。
无法正常关机
关机按钮消失
注册表被禁用
任务管理器被禁用
[autorun]open=RECYCLERS /pre> |
U盘图标变为文件夹样式
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify cryptcrypts.dllc:\windows\system32\crypts.dllHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Symantec Control Clientsymclisvc.exeNEW PHOTO(Not verified) Adobe PhotoShop CS3 Product1.03.0023.0000c:\windows\system32\symclisvc.exe Symantec Control Clientsymconfig.exeNEW PHOTO(Not verified) Adobe PhotoShop CS3 Product1.03.0023.0000c:\windows\system32\symconfig.exe |
注册表关机键值被修改
病毒本体文件
…………127.0.0.1www.dazhizhu.cn127.0.0.1www.f /pre> |
实战斗病毒
C:\WINDOWS\system32\symclisvc.exeC:\WINDOWS\system32\drivers\ADProt.sysC:\WINDOWS\system32\drivers\bfafgefi.sysC:\WINDOWS\system32\drivers\heighdid.sysD:\Program Files\Tencent\TM\TMDlls\npkcrypt.sysC:\WINDOWS\system32\mstscax.dll |
本人就是用此工具恢复中毒机器的注册表
REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskmgr"=dword:00000000 (最后一行留一空行) |
提示:一定要在管理员账户进行操作
总结
引用地址: