19.exe,pagefile.pif专杀 pagefile.pif病毒 auto.inf

File: 19.exe
Size: 33495 bytes
File Version: 0.00.0204
Modified: 2007年12月29日, 21:23:18
MD5: 4B2BE9775B6CA847FB2547DD75025625
SHA1: 2660F88591AD4DA8849A3A56F357E7DFB9694D45
CRC32: 2A485241
编写语言:VB

1.病毒运行后,衍生如下副本及文件:

Quote:
%systemroot%\Debug\DebugProgram.exe
%systemroot%\system32\command.pif
%systemroot%\system32\dxdiag.com
%systemroot%\system32\finder.com
%systemroot%\system32\MSCONFIG.COM
%systemroot%\system32\regedit.com
%systemroot%\system32\rundll32.com
%systemroot%\1.com
%systemroot%\ExERoute.exe
%systemroot%\explorer.com
%systemroot%\finder.com
%systemroot%\SERVICES.EXE
D:\autorun.inf
D:\pagefile.pif

2.提升自身权限,试图结束带有如下关键字的进程

Quote:
360tray*
ravmon*
ccenter*
trojdie*
kpop*
ssistse*
agentsvr*
kv*
kreg*
iefind*
iparmor*
uphc*
rulewize*
fygt*
rfwsrv*
rfwma*
trojan*
svi.exe

3.篡改很多文件关联方式 使得打开这些文件后会启动病毒

Quote:
HKLM\SOFTWARE\Classes\.bfc\ShellNew\Command: "%SystemRoot%\system32\rundll32.com %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKLM\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\: ""C:\Program Files\Internet Explorer\iexplore.com""
HKLM\SOFTWARE\Classes\Drive\shell\find\command\: "%SystemRoot%\explorer.com"
HKLM\SOFTWARE\Classes\dunfile\shell\open\command\: "%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
HKLM\SOFTWARE\Classes\htmlfile\shell\print\command\: "rundll32.com %SystemRoot%\system32\mshtml.dll,PrintHTML "%1""
HKLM\SOFTWARE\Classes\inffile\shell\Install\command\: "%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
HKLM\SOFTWARE\Classes\Unknown\shell\openas\command\: "%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"(打开未知程序都能启动病毒,汗...)
HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command\: ""C:\Program Files\common~1\iexplore.pif""

(修改开始程序上的IE的指向文件)
HKLM\SOFTWARE\Classes\.lnk\ShellNew\Command: "rundll32.com appwiz.cpl,NewLinkHere %1"
HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" %1"
HKLM\SOFTWARE\Classes\cplfile\shell\cplopen\command\: "rundll32.com shell32.dll,Control_RunDLL "%1",%*"
HKLM\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" %1"
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" -nohome"
HKLM\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\common~1\iexplore.pif" %1"
HKLM\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\common~1\iexplore.pif" -nohome"
HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command\: "finder.com shdocvw.dll,OpenURL %l"
HKLM\SOFTWARE\Classes\scrfile\shell\install\command\: "finder.com desk.cpl,InstallScreenSaver %l"
HKLM\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command\: ""C:\WINDOWS\system32\finder.com" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
HKLM\SOFTWARE\Classes\telnet\shell\open\command\: "finder.com url.dll,TelnetProtocolHandler %l"
HKLM\SOFTWARE\Clients\StartMenuInternet\: "iexplore.pif"
...

增加winfiles的新的文件关联指向C:\WINDOWS\ExERoute.exe
并篡改exe文件关联HKLM\SOFTWARE\Classes\.exe\: "winfiles"

4.修改

Quote:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
   的{shell}值为Explorer.exe 1

5.连接网络盗取传奇世界等游戏的帐号密码

清除方法:

1.解压缩Icesword 把Icesword.exe改名为Icesword.com运行
进程一栏 结束%systemroot%\SERVICES.EXE

点击左下角的文件按钮删除如下文件
%systemroot%\Debug\DebugProgram.exe
%systemroot%\system32\command.pif
%systemroot%\system32\dxdiag.com
%systemroot%\system32\finder.com
%systemroot%\system32\MSCONFIG.COM
%systemroot%\system32\regedit.com
%systemroot%\system32\rundll32.com
%systemroot%\1.com
%systemroot%\ExERoute.exe
%systemroot%\explorer.com
%systemroot%\finder.com
%systemroot%\SERVICES.EXE
D:\autorun.inf
D:\pagefile.pif
2.把sreng扩展名改为bat,运行

系统修复-文件关联 修复

3.修复系统
打开系统盘 直接运行%systemroot%\system32\regedit.exe
把被病毒修改的注册表恢复回来

Quote:
HKLM\SOFTWARE\Classes\.lnk\ShellNew\Command: "rundll32.exe appwiz.cpl,NewLinkHere %1"
HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKLM\SOFTWARE\Classes\cplfile\shell\cplopen\command\: "rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
HKLM\SOFTWARE\Classes\cplfile\shell\cplopen\command\: "rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKLM\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKLM\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command\: "rundll32.exe shdocvw.dll,OpenURL %l"
HKLM\SOFTWARE\Classes\scrfile\shell\install\command\: "rundll32.exe desk.cpl,InstallScreenSaver %l"
HKLM\SOFTWARE\Classes\scrfile\shell\install\command\: "rundll32.exe desk.cpl,InstallScreenSaver %l"
HKLM\SOFTWARE\Classes\telnet\shell\open\command\: "rundll32.exe url.dll,TelnetProtocolHandler %l"
HKLM\SOFTWARE\Classes\telnet\shell\open\command\: "rundll32.exe url.dll,TelnetProtocolHandler %l"
HKLM\SOFTWARE\Classes\Drive\shell\find\command\: "%SystemRoot%\Explorer.exe"
HKLM\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\: ""C:\Program Files\Internet Explorer\iexplore.exe""
HKLM\SOFTWARE\Classes\Drive\shell\find\command\: "%SystemRoot%\Explorer.exe"
HKLM\SOFTWARE\Classes\dunfile\shell\open\command\: "%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1"
HKLM\SOFTWARE\Classes\htmlfile\shell\print\command\: "rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1""
HKLM\SOFTWARE\Classes\inffile\shell\Install\command\: "%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
HKLM\SOFTWARE\Classes\Unknown\shell\openas\command\: "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

删除HKLM\SOFTWARE\Classes\winfiles整个子键
修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
   的{shell}值为Explorer.exe

(0)

相关推荐

  • 19.exe,pagefile.pif专杀 pagefile.pif病毒 auto.inf

    File: 19.exe Size: 33495 bytes File Version: 0.00.0204 Modified: 2007年12月29日, 21:23:18 MD5: 4B2BE9775B6CA847FB2547DD75025625 SHA1: 2660F88591AD4DA8849A3A56F357E7DFB9694D45 CRC32: 2A485241 编写语言:VB 1.病毒运行后,衍生如下副本及文件: Quote: %systemroot%\Debug\DebugProg

  • "熊猫烧香"犯罪嫌疑人李俊编写的病毒专杀工具(非病毒)下载

    "熊猫烧香"犯罪嫌疑人李俊编写的病毒专杀工具(非病毒)下载

    今年1月中旬,湖北省仙桃市公安局网监部门根据公安部公共信息网络安全监察局及省公安厅的统一部署,对"熊猫烧香"病毒的制作者开展调查.经查,熊猫烧香病毒的制作者为湖北省武汉市李俊,据李俊交代,其于2006年10月16日编写了"熊猫烧香"病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元.经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏.李俊还于2003年编写了&

  • 病毒专杀VBS模块

    "病毒专杀VBS模块.vbs"这个文件你可以直接执行,不会有任何破坏^^. 提供专杀模板,你就可以根据你分析出的病毒行为写出自己的病毒专杀工具. 非常的方便,非常的高效! 作为一个反病毒人士不应该仅仅能分析好病毒日志,还要知道如何分析病毒行为! 进而给出自己的解决方案! 这个解决方案并不一定非得用到网上那些出名的小软件icesword之类的. 因为你也可以自己写专杀,只要你学过VBS就行! VBS代码很简单,和VB.VBSCRIPT是如出一辙的-- 自然bat批处理(DOS命令)也可以

  • 病毒专杀VBS模板更新

    自从发布了<写了款Worm.Win32.VB.fw病毒专杀>与<病毒rundll.exe专杀发布与源码共享>两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善.这次增加了"HOSTS文件恢复功能模块"与"Autorun免疫功能模块".本地服务的控制模块还在测试中--源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小G.UMU.看破红尘! 07.4.30日更新如下:1."病毒文件删除模块"支持环境变量,

  • 多个IEXPLORE.EXE进程,专杀的完美解决方案

    这几天电脑中了病毒,c盘格式化重装了也不管用,把我郁闷的.一开机就出现IEXPLORE.EXE的进程,强行终止后一会又出现了,卡巴斯基杀了一遍没查出来,到网上转了好几圈,发现了这样的解决方案. 现象: 1.系统开机,没有启动IE的情况下,进程中有iexplore.exe运行,注意,是小写字母: 2.搜索该程序iexplore.exe,位于C:\WINDOWS\system32下面. 解决方案: 十有八九,你是中了 Trojan.PowerSpider.ac 木马病毒,它偷取用户各种密码,包含:游

  • 用批处理轻松清掉sxs.exe和autorun.inf的专杀工具

    保存为del.bat,运行即可,另一个是注册表文件,可以防止病毒修改注册表无法查看隐藏文件 复制代码 代码如下: @echo off @echo 我们 @echo sxs.exe 专杀 @echo 开始 @echo 结束病毒进程sovhost ntsd -c q -pn sovhost.exe echo 修正注册表 regedit /s del.reg echo 删除各盘病毒文件 cd\ c: attrib sxs.exe -a -h -s  del /s /q /f sxs.exe attri

  • sxs.exe 病毒专杀工具 最近更新

    关于sxs.exe 病毒查杀文章请看下面的链接 http://www.jztop.com/net/bdzq/du/20060813/26006.html 杀毒前请先断开网络连接,运行专杀工具完以后重启电脑 下载地址: 下载sxs.exe病毒专杀工具 *************************************** 前些天电脑中了"sxs.exe病毒",后来整理了一篇"sxs.exe病毒手动删除方法",没想到短短几天时间,通过搜索找过来的朋友就突破800

  • woso.exe,wlso.exe,wmso.exe, woso.exe,ztso.exe 等木马盗号病毒专杀工具

    具体问题是这样的.卡巴杀出这些木马程序,但是我发现在"系统配置实用程序"里面的"启动"选项里面,有一些东西((可能最开始是病毒文件)).比如说,  C;DOCUME~1\Acer\LOCALS~1\Temp\wgso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\wlso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\wmso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\woso.exe

  • zaq5.exe zaq8.exe 之最新熊猫烧香专杀工具

    魏滔序民间版熊猫烧香专杀工具据笔者测试 该工具和其他产品相比 杀毒速度较快.程序更新迅速!美中不足,对于已经中毒的html文件中,病毒在感染的html等文件中添加了<iframe>http://***.**.**<iframe>的嵌套网址无法删除.同时C盘的病毒文件无法完全杀死.重启或双击C盘又会在WODNEWS文件夹下产生变种zaq2.exe zaq4.exe zaq5.exe等变种. 所以推荐使用我上一篇文章里的专杀工具,地址为:http://www.jb51.net/html

  • iexplore.exe专杀手工解决

    系统进程--伪装的病毒 iexplore.exe Trojan.PowerSpider.ac        破坏方法:密码解霸V8.10.又称"密码结巴" 偷用户各种密码,包含:游戏密码.局域网密码.腾讯QQ账号和密码.POP3 密码.Win9x缓存密码及拨号账号等等.这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大. 现象:1.系统进程中有iexplore.exe运行,注意,是小写字母      2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文

随机推荐