,,19.exe,pagefile.pif专杀 pagefile.pif病毒 auto.inf
手工查杀新落雪病毒(19.exe,pagefile.pif,autorun.inf)
文件:19.exe大小:33495字节文件版本:0.00.0204修改时间:2007年年12月29日,21:23:18 MD5:4b 2 be 9775 b 6 ca 847 FB 2547 DD 75025625 SHA1:2660 f 88591 ad 4 da 8849 a 356 f 357 e 7 DFB 9694d 45 CRC 32:2a 485241编写语言:VB
1.病毒运行后,衍生如下副本及文件:
引用:% systemroot % \ Debug \ Debug程序。请执行% systemroot % \ system32 \ command。pif % systemroot % \ system32 \ dxdiag。com % systemroot % \ system32 \ finder。com % systemroot % \ system32 \ MSCONFIG .COM % systemroot % \ system32 \ regedit。COM % systemroot % \ system32 \ rundll 32。COM % systemroot % \ 1。COM % systemroot % \ exe路由。exe % systemroot % \ explorer。COM % systemroot % \ finder。COM % systemroot % \ SERVICES .EXE D:\ autorun。INF D:\ pagefile。程序信息文件
2.提升自身权限,试图结束带有如下关键字的进程
报价:360 tray * rav mon * ccenter * troj die * kpop * ssist se * agentsvr * kv * kreg * ie find * iparmor * uphc * rule wize * fygt * rfw SRV * RF WMA *特洛伊* svi.exe
3.篡改很多文件关联方式使得打开这些文件后会启动病毒
引用:HKLM \软件\类\。bfc \ shell new \ Command:" % SystemRoot % \ system32 \ rundll 32。com % SystemRoot % \ system32 \ sync ui。dll,公文包_创建%2!d!% 1 ' HKLM \软件\类\ CLSID \ { 871 C 5380-42 A0-1069-A2EA-08002 b 30309d } \ shell \打开主页\ Command \:' ' C:\ program files \ internet explorer \ ie xplore。com“HKLM”软件\类\驱动器\ shell \ find \ Command \:' % SystemRoot % \ explorer。com ' HKLM \软件\类\ dun file \ shell \ open \ Command \:' % SystemRoot % \ System32 \ rundll 32。com网打开未知程序都能启动病毒,汗.)外壳\软件\客户端\ StartMenuInternet \ ie xplore。pif \ shell \ open \ command \:' ' C:\ program files \ common ~ 1 \ ie xplore。pif ' '
(修改开始程序上的工业管理学(工业工程)的指向文件)HKLM软件\类\。lnk \ Shell new \ Command:' rundll32。comappwiz。CPL,此处有新链接% 1 ' HKLM \软件\类\应用程序\ iexplore。' C:\ program files \ internet explorer \ ie xplore。com“% 1”HKLM \软件\类\ CPL file \ Shell \ CPL open \ Command \:' rundll 32。com外壳32。dll,Control _ RunDLL“% 1”,% *“HKLM \软件\类\ftp\shell\open.
增加winfiles的新的文件关联指向C:\WINDOWS\ExERoute.exe并篡改可执行程序的扩展名文件关联HKLM软件\类\。exe\:'winfiles '
4.修改
报价:HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ windows nt \ current version \ Winlogon的{shell}值为Explorer.exe1
5.连接网络盗取传奇世界等游戏的帐号密码
清除方法:
1.解压缩冰剑把Icesword.exe改名为Icesword.com运行进程一栏结束%systemroot%\SERVICES .可执行程序的扩展名
点击左下角的文件按钮删除如下文件% systemroot % \ Debug \ Debug程序。请执行% systemroot % \ system32 \ command。pif % systemroot % \ system32 \ dxdiag。com % systemroot % \ system32 \ finder。com % systemroot % \ system32 \ MSCONFIG .COM % systemroot % \ system32 \ regedit。COM % systemroot % \ system32 \ rundll 32。COM % systemroot % \ 1。COM % systemroot % \ exe路由。exe % systemroot % \ explorer。COM % systemroot % \ finder。COM % systemroot % \ SERVICES .EXE D:\ autorun。INF D:\ pagefile。太平洋岛屿论坛2 .把sreng扩展名改为蝙蝠,运行
系统修复-文件关联修复
3.修复系统打开系统盘直接运行% systemroot % \ system32 \ regedit。可执行程序的扩展名把被病毒修改的注册表恢复回来
引用:HKLM \软件\类\。lnk \ ShellNew \ Command:' RUNDLL32。exe appwiz。CPL,此处有新链接% 1 ' HKLM \软件\类\应用程序\ iexplore。' C:\ program files \ internet explorer \ ie xplore。可执行文件“% 1”HKLM \软件\类\ CPL file \ shell \ CPL open \ Command \:' rundll 32。exe shell32。dll,Control _ RunDLL“% 1”,% *“HKLM \软件\类\ CPL文件\ shellEXENETSHELL。DLL,InvokeDunFile % 1 ' HKLM \软件\类\ html file \ shell \ print \ command \:' rundll 32。exe % SystemRoot % \ System32 \ mshtml。DLL,打印html ' % 1 ' ' HKLM \软件\类\ inffile \ shell \ Install \ command \:' % SystemRoot % \ System32 \ rundll 32。exesetupapi,installhinfsctiondefaultinstall 132% 1 ' HKLM \软件\类\未知\shell\openas\command\:'
删除HKLM软件\类\winfiles整个子键修改HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ windows nt \ current version \ Winlogon的{shell}值为Explorer.exe
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。