感染途徑: 老樣子經由MSN傳送檔案,受害者開啟了帶病毒檔案後中毒。 症狀: 1.病毒會拷貝一個symlssdb.exe檔案到%systemroot%\system32\中,並隱藏自己。 2.禁用Folder Option。 3.禁用Regedit.exe 4.禁用cmd 5.禁用taskmgr.exe 6.將常用的工具軟件阻礙掉,你可能不能開啟如msconfig.exe,或procexp.exe等工具程式 7.將「執行」在Start選單中除掉 8.不能開啟「安全模式」 解毒: 說難不難只是有點麻煩,這木馬阻擋了大部份解毒進入途徑,如果是本機中毒,根本無從入手,所以要將系統盤拆下來,裝到另一台電腦上。 開始掃毒,或直接把 windows\system32\symlssdb.exe刪除掉再硬塞一個其他無毒檔案改名叫symlssdb.exe。這使得系統盤回到原本的電腦上時不會在開機時再生成symlssdb.exe,雖然不知道會不會再生成,從現像來看應該是不會復活。 用市面上的防毒軟體完整掃瞄一次。 木馬已經清除了,但被禁用的東西還是會被禁用,現在逐一把它們還原。 重開機,首先把regedit還原起來,有兩個方法。 1.打開procexp.exe(如沒有可能需要下載),在File->Run裡輸入gpedit.msc來開啟Group Policy的選單。 打開User Configuration->Administrative Templates->System裡面,把以下兩東西Disable掉。包括 Prevent access to the command prompt Prevent access to registry editing tools 2.下載Reg Organizer或在regedit被禁用下仍可修改系統登錄碼的工具。 在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]中 把 DisableRegistryTools 設回 0 (取消禁用regedit) Disabletaskmgr 設回 0 (取消禁用taskmgr工作管理員) 測試一下現在regedit應該回復正常了。 在reged...