GR.PIF

病毒信息文件名称: GR.PIF

文件大小: 12036 bytes

MD5: eb92f0f76fdf5316c193cef1f56c2238

加壳: WinUpack

编写语言: N/A

详细资料文件变化:释放文件%SystemRoot%system32wanifts.dllc:emp.temp

替换系统文件%SystemRoot%system32wuauclt.exe%SystemRoot%system32dllcachewuauclt.exe%SystemRoot%system32Driverseep.sys各分区根目录释放X:GR.PIFX:AUTORUN.INFautorun.inf 内容:[AutoRun] shellopen=打开(&O) shellopenCommand=GR.PIF shellopenDefault=1 shellexplore=资源管理器(&X) shellexplorecommand=GR.PIF注册表变动:病毒创建启动项[HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorer

un]"internetnet"="%SystemRoot%system32wuauclt.exe"修改注册表项禁用"显示所有文件和文件夹:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]"CheckedValue"=dword:00000002删除注册表项破坏"安全模式"[HKLMSystemCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}][HKLMSystemCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}]其他行为:通过 cacls.exe 命令修改下列文件访问控制权限%SystemRoot%system32packet.dll%SystemRoot%system32pthreadVC.dll%SystemRoot%system32wpcap.dll%SystemRoot%system32drivers

pf.sys%SystemRoot%system32

pptools.dll%SystemRoot%system32driversacpidisk.sys%SystemRoot%system32wanpacket.dllc:Documents and SettingsAll Users「开始」菜单程序启动

调用ie 下载病毒..病毒修改系统年份:2004创建 Image File Execution Options 劫持安全相关程序

清除方法1. 下载 IceSword(冰刃)解压 运行冰刃

2. 文件(冰刃界面左上)-设置勾上 禁止进线程创建 和 禁止协议功能

3. 冰刃=>进程=>结束下列进程 wuauclt.exe 和 GR.PIF 进程=>关闭冰刃

4. 下载附件（附件请到剑盟下载）=>解压=>运行 killgr.bat

5. 重启计算机

6. 下载System Repair Engineer 解压=>运行=>系统修复=>高级修复=>修复安全模式

7. 修改系统时间

8. 从相同的操作系统中拷贝下列系统文件,复制到相同位置%SystemRoot%system32wuauclt.exe%SystemRoot%system32dllcachewuauclt.exe%SystemRoot%system32Driverseep.sys