扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年6月13日
关键字: PegeFile autorun.inf
一.分析:1.病毒运行后会在所有分区生成隐藏文件autorun.inf.PegeFile.pif
,如下图所示:
2.在C:\Program Files\Internet Explorer\PLUGINS生成病毒文件.
3.病毒添加到C:\WINDOWS和C:\WINDOWS\system32中,如下图所示 :
(注:Thumbs.db是我保存图片时生成的,病毒不包括它和drivers文件夹)
4.病毒下载到temp文件中,我们可以通过运行"%temp%"打开它查.看.病毒名是后缀名为*.exe每次病毒运行,前面的数字会变化的.如下图所示:
5.病毒加载启动项,可以通过系统配置实用程序查看,也可以通过查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run如下所示 :
6.下载并安.装IE插件,如下图所示 :
7.病毒运行后会注入到explorer.exe进程,如下列DLL文件.NewTemp.dll,nwizqjsj.dll,Ravasktao.dll,WinForm.dll,ztinetzt.dll.如下图示:
二.解决方法:
1.用卡卡助手卸载NewTemp.dll,System64.Sys插件
2.用winrar查看隐藏文件,先把各盘的autorun.inf,PegeFile,删除windows下面WinForm.exe,再删除system32下面的病毒文件,(需要结束explorer.exe进程,因为一些dll文件注入到explorer.exe进程)具体如上图所示.然后删除C:\Program Files\Internet Explorer\PLUGINS下面的插件.最后清理一下被下载到temp文件夹中的病毒程序.
3.运行msconfig清理病毒启动项.再运行regedit打开注册表编辑器找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除被加载的启动项.最后通过注册表编辑查找功能分别查找病毒文件删除(如NewTemp和System64.Sys等)
(注:删除文件一定要结束explorer.exe,如果此程序结束,桌面和任务栏还有开.始菜单会暂时消失,这样我们可以能过"ctrl+alt+del",如果此功能键被禁用,也可以借助"ctrl+alt+esc"调出任务管理器进行在winrar中查看删除.)
批处理杀.毒测试(也许杀不干净,如果有的话.请纠正本LOG..谢谢)
这里做二个批处理
1.cmd(文件名) tskill跟据你的可疑进程增加.
tskill explorer
tskill winform
tskill iexplore
del /a/f/q c:\autorun.inf
del /a/f/q d:\autorun.inf
del /a/f/q e:\autorun.inf
del /a/f/q f:\autorun.inf
del /a/f/q g:\autorun.inf
del /a/f/q c:\PegeFile.pif
del /a/f/q d:\PegeFile.pif
del /a/f/q e:\PegeFile.pif
del /a/f/q f:\PegeFile.pif
del /a/f/q g:\PegeFile.pif
%0
kill.cmd(文件名)
tskill explorer
tskill winform
tskill iexplore
del /a /f /q c:\autorun.inf
del /a /f /q d:\autorun.inf
del /a /f /q e:\autorun.inf
del /a /f /q f:\autorun.inf
del /a /f /q g:\autorun.inf
del /a /f /q c:\PegeFile.pif
del /a /f /q d:\PegeFile.pif
del /a /f /q e:\PegeFile.pif
del /a /f /q f:\PegeFile.pif
del /a /f /q g:\PegeFile.pif
start 1.cmd
c:
cd\
del /a/s/f/q "%temp%\."
tskill winform.exe
del /a/s/f/q winform.exe
del /a /f /q "C:\Program Files\Internet Explorer\PLUGINS\NewTemp.bak"
del /a /f /q "C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll"
del /a /f /q "C:\Program Files\Internet Explorer\PLUGINS\System64.Sys"
del /a /f /q "C:\Program Files\Internet Explorer\PLUGINS\System64.jmp"
del /a /f /q C:\WINDOWS\system32\nwizdh.exe
del /a /f /q C:\WINDOWS\system32\nwizdh.dll
del /a /f /q C:\WINDOWS\system32\nwizqjsj.exe
del /a /f /q C:\WINDOWS\system32\nwizqjsj.dll
del /a /f /q C:\WINDOWS\system32\Ravasktao.exe
del /a /f /q C:\WINDOWS\system32\Ravasktao.dll
del /a /f /q C:\WINDOWS\system32\ztinetzt.exe
del /a /f /q C:\WINDOWS\system32\msfeed.exe
del /a /f /q C:\WINDOWS\system32\sevices.exe
del /a /f /q C:\WINDOWS\system32\WinForm.dll
del /a /f /q C:\WINDOWS\system32\WanPacket.dll
del /a /f /q C:\WINDOWS\system32\Packet.dll
del /a /f /q C:\WINDOWS\system32\wpcap.dll
del /a /f /q C:\WINDOWS\system32\dh2104.dll
del /a /f /q C:\WINDOWS\system32\d3d9caps.dat
del /a /f /q C:\WINDOWS\system32\drivers\usbinte.sys
del /a /f /q C:\WINDOWS\system32\drivers\npf.sys
del /a /f /q C:\WINDOWS\SHELLNEW\Thumbs.db
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Autorun1" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Autorun7" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Autorun9" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "WinForm" /f
shutdown -r -t 0
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者