PegeFile病毒查杀方法

一.分析:1.病毒运行后会在所有分区生成.隐藏文件autorun.inf.PegeFile.pif,如下图所示:

         2.在C:\Program Files\Internet Explorer\PLUGINS生成病毒文件.

         3.病毒添加到C:\WINDOWS和C:\WINDOWS\system32中,如下图所示 :

(注:Thumbs.db是我保存图片时生成的,病毒不包括它和drivers文件夹)

         4.病毒下载到temp文件中,我们可以通过运行"%temp%"打开它查看.病毒名是后缀名为*.exe每次病毒运行,前面的数字会变化的.如下图所示:

5.病毒加载启动项,可以通过系统配置实用.程序查看,也可以通过查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run如下所示 :

        6.下载并安装IE插件,如下图所示 :

       7.病毒运行后会注入到explorer.exe进程,如下列DLL文件.NewTemp..dll,nwizqjsj.dll,Ravasktao.dll,WinForm.dll,ztinetzt.dll.如下图示:

二.解决方法:

1.用卡卡助手卸载NewTemp.dll,System64.Sys插件

2.用winrar查看隐藏文件,先把各盘的autorun.inf,PegeFile,删除windows下面WinForm.exe,再删除system32下面的病毒文件,(需要结束explorer.exe进程,因为一些dll文件注入到explorer.exe进程)具体如上图所示.然后删除C:\Program Files\Internet Explorer\PLUGINS下面的插件.最后清理一下被下载到temp文件夹中的病毒程序.

3.运行msconfig清理病毒启动项.再运行regedit打开注册表编辑器找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除被加载的启动项.最后通过注册表编辑查找功能分别查找病毒文件删除(如NewTemp和System64.Sys等)

(注:删除文件一定要结束explorer.exe,如果此程序结束,桌面和任务栏.还有开始菜单会暂时消失,这样我们可以能过"ctrl+alt+del",如果此功能键被禁用,也可以借助"ctrl+alt+esc"调出任务管理器进行在winrar中查看删除.)

批处理杀毒.测试(也许杀不干净,如果有的话.请纠正本LOG..谢谢)

这里做二个批处理

1.cmd(文件名) tskill跟据你的可疑进程增加.

tskill explorer
tskill winform
tskill iexplore
del /a/f/q c:\autorun.inf
del /a/f/q d:\autorun.inf
del /a/f/q e:\autorun.inf
del /a/f/q f:\autorun.inf
del /a/f/q g:\autorun.inf
del /a/f/q c:\PegeFile.pif
del /a/f/q d:\PegeFile.pif
del /a/f/q e:\PegeFile.pif
del /a/f/q f:\PegeFile.pif
del /a/f/q g:\PegeFile.pif
%0

kill.cmd(文件名)

tskill explorer
tskill winform
tskill iexplore
del /a /f /q c:\autorun.inf
del /a /f /q d:\autorun.inf
del /a /f /q e:\autorun.inf
del /a /f /q f:\autorun.inf
del /a /f /q g:\autorun.inf
del /a /f /q c:\PegeFile.pif
del /a /f /q d:\PegeFile.pif
del /a /f /q e:\PegeFile.pif
del /a /f /q f:\PegeFile.pif
del /a /f /q g:\PegeFile.pif
start 1.cmd
c:
cd\
del /a/s/f/q "%temp%\."
tskill winform.exe
del /a/s/f/q winform.exe

del /a /f /q "C:\Program Files\Internet Explorer\PLUGINS\NewTemp.bak"
del /a /f /q "C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll"
del /a /f /q "C:\Program Files\Internet Explorer\PLUGINS\System64.Sys"
del /a /f /q "C:\Program Files\Internet Explorer\PLUGINS\System64.jmp"

del /a /f /q C:\WINDOWS\system32\nwizdh.exe
del /a /f /q C:\WINDOWS\system32\nwizdh.dll
del /a /f /q C:\WINDOWS\system32\nwizqjsj.exe
del /a /f /q C:\WINDOWS\system32\nwizqjsj.dll
del /a /f /q C:\WINDOWS\system32\Ravasktao.exe
del /a /f /q C:\WINDOWS\system32\Ravasktao.dll
del /a /f /q C:\WINDOWS\system32\ztinetzt.exe
del /a /f /q C:\WINDOWS\system32\msfeed.exe
del /a /f /q C:\WINDOWS\system32\sevices.exe
del /a /f /q C:\WINDOWS\system32\WinForm.dll
del /a /f /q C:\WINDOWS\system32\WanPacket.dll
del /a /f /q C:\WINDOWS\system32\Packet.dll
del /a /f /q C:\WINDOWS\system32\wpcap.dll
del /a /f /q C:\WINDOWS\system32\dh2104.dll
del /a /f /q C:\WINDOWS\system32\d3d9caps.dat
del /a /f /q C:\WINDOWS\system.32\drivers\usbinte.sys
del /a /f /q C:\WINDOWS\system32\drivers\npf.sys
del /a /f /q C:\WINDOWS\SHELLNEW\Thumbs.db

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Autorun1" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Autorun7" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Autorun9" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "WinForm" /f

shutdown -r -t 0