查人人中国名人网灵泉空间之幸福田园记:紧急求助,有谁知道pagefile是什么病毒吗?
来源:百度文库 编辑:查人人中国名人网 时间:2024/04/29 13:19:58
用杀毒软件杀了以后,重新启动又有,继续杀,又发现同样的病毒。
病毒名称Trojan.PSW.Misc.gen
我现在把我所有的积分全部拿出来,希望各位大虾能够帮帮忙。我知道积分没什么用,但是非常希望各位大虾能帮帮我,小弟在这里先谢过了。
Trojan.PSW.Misc.gen 木马病毒
一般来说杀毒能报出名字就肯定能杀 不过一定要病毒库要升级到最新的
只是注意方式
先把系统还原关闭
右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除
然后按F8进安全模式下杀 然后重启就可以了
找到一个工具,不知道有没有用。没测试,毕竟我没中这个病毒
这个是2dai 斑竹zcp08765 的分析
关于木马,病毒Trojan.PSW.Misc(LSASS)的分析
这个病毒具有木马病毒双重性质.不过说是木马较为贴切些。(以下测试结果在XP系统下所得)
下面是对此木马的分析报告:
技术特点分析:
1.采用系统文件隐藏方式隐藏程序文件.
2.采用多种启动方式,主要有:文件关联、autorun.inf、程序文件关联启动
3.注册表中添加启动项目
4.停止杀软实时监控模式.
如果删除方法不当将导致如下情况 : (这些状况也可以认为此木马带有病毒性质了)
1.导致D盘无法双击打开
2.导致浏览器无法打开.
3.导致所有exe程序无法打开.
4.导致杀软监控模块损坏.
木马运行过程分析:
1.生成如下文件:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Winsock32.DLL.SCF
D:\autorun.inf
D:\command.com
2.在注册表中生成如下项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command
3.在注册表中添加如下项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command\: ""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\LocalizedString: 49 4E 54 45 58 50 4C 4F 52 45 00 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP: "C:\WINDOWS\LSASS.exe"
4.在注册表中修改如下键值: (上面的项目是原来的,紧靠着的下面的是修改之后的值)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "WindowFiles"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\: ""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\common~1\INTEXPLORE.pif" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\common~1\INTEXPLORE.pif" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\: "IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\: "INTEXPLORE.pif"
注意压缩包解压后,里面的文件有文件是隐藏模式下的,请取消所有隐藏模式方才可以看见.
产生一个进程c:\windows\lsass进程.任务管理器可见
是个木马程序~~用QQkav可以 删除~
还可以在安全模式下找到文件的路径用手动删除~~