難纏的MSN病毒--Injector.CV Trojan

感染途徑:
老樣子經由MSN傳送檔案,受害者開啟了帶病毒檔案後中毒。

症狀:
1.病毒會拷貝一個symlssdb.exe檔案到%systemroot%\system32\中,並隱藏自己。
2.禁用Folder Option。
3.禁用Regedit.exe
4.禁用cmd
5.禁用taskmgr.exe
6.將常用的工具軟件阻礙掉,你可能不能開啟如msconfig.exe,或procexp.exe等工具程式
7.將「執行」在Start選單中除掉
8.不能開啟「安全模式」

解毒:
說難不難只是有點麻煩,這木馬阻擋了大部份解毒進入途徑,如果是本機中毒,根本無從入手,所以要將系統盤拆下來,裝到另一台電腦上。
開始掃毒,或直接把 windows\system32\symlssdb.exe刪除掉再硬塞一個其他無毒檔案改名叫symlssdb.exe。這使得系統盤回到原本的電腦上時不會在開機時再生成symlssdb.exe,雖然不知道會不會再生成,從現像來看應該是不會復活。

用市面上的防毒軟體完整掃瞄一次。

木馬已經清除了,但被禁用的東西還是會被禁用,現在逐一把它們還原。

重開機,首先把regedit還原起來,有兩個方法。

1.打開procexp.exe(如沒有可能需要下載),在File->Run裡輸入gpedit.msc來開啟Group Policy的選單。
打開User Configuration->Administrative Templates->System裡面,把以下兩東西Disable掉。包括
Prevent access to the command prompt
Prevent access to registry editing tools
2.下載Reg Organizer或在regedit被禁用下仍可修改系統登錄碼的工具。
  在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]中 把
  DisableRegistryTools 設回 0  (取消禁用regedit)
  Disabletaskmgr 設回 0 (取消禁用taskmgr工作管理員)
  
 測試一下現在regedit應該回復正常了。
 在regedit中尋找 DisableCMD ,找到後把他設回 0 ,解除對cmd的限制。
 
 至於資料夾選項,一樣可以在regedit中修回來。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
中把NoFolderOptions設回0  (解禁資料夾選項)
NoRun 設回0  (解禁開始->執行)

這樣所有後遺症都應該解決了。

留言

Back to Title

熱門文章

Back to Title