pagefile.pif病毒专杀,autorun.inf病毒专杀

• 今天朋友的电脑老是需要重新启动,提示"Generic host process for win32 services遇到问题需要关闭",于是首先打开任务管理器查看,发现有多个伪装的SVCHOST运行,并且居然又有RUNDL132.EXE出现,最明显就是在D盘根目录下出现pagefile.pif和autorun.inf文件,显然又是中了传说中的落雪病毒,上网搜索了一下:pagefile.pif病毒专杀,autorun.inf病毒专杀,发现前次的工具不起作用,能够清除部分病毒文件却不能完全清除"落雪"病毒,于是继续在网上找"pagefile.pif病毒专杀,autorun.inf病毒专杀"工具,终于功夫不负有心人,...
  
  下文转自:江民论坛
  
  前段时间单位、朋友多台电脑中毒，具体症状D盘有autorun.inf和pagefile.pif两个系统文件，显然autorun.inf是指向pagefile.pif的，所有.EXE可执行文件都无法打开。
  在网上查询了下，是其大名是”落雪“木马病毒，转贴网上介绍如下：
  －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－   
  最近网上正在流窜这一类木马－游戏大盗，KV 报病毒名： Trojan/PSW.GamePass ，这类木马还有一个好听的别名：落雪木马，呵呵，在浪漫的名称背后隐藏的是一双冰冷狡诈的眼睛！如果你正在打网络游戏，并且中了这种木马话，那么你的 IC，IP，IQ卡，游戏帐号和密码，也就统统告诉它密码了！
       游戏大盗 Trojan/PSW.GamePass ，落雪木马由VB 语言编写，一般加的是 nSPack 3.1 的壳，也就是通常所说的北斗壳（North Star），该木马文件图标一般是红色的，很像网络游戏的登陆器。如图：
  
  
  落雪木马可以盗取包括魔兽世界，传奇世界，征途，梦幻西游，边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备构成了极大的威胁。
  病毒行为分析：
  病毒运行后，将创建下列文件（以Windows XP 系统为例）：
  c:\program files\common files\iexplore.pif, 47274字节
  c:\program files\internet explorer\iexplore.com, 47274字节
  c:\windows.com, 47274字节
  c:\windows\debug\debugprogram.exe, 47274字节
  c:\windows\exeroute.exe, 47274字节
  c:\windows\explorer.com, 47274字节
  c:\windows\finder.com, 47274字节
  c:\windows\winlogon.exe, 47274字节
  c:\windows\System32\command.pif, 47274字节
  c:\windows\System32\dxdiag.com, 47274字节
  c:\windows\System32\finder.com, 47274字节
  c:\windows\System32\msconfig.com, 47274字节
  c:\windows\System32\regedit.com, 47274字节
  c:\windows\System32\rundll32.com, 47274字节
  
  在注册表中添加下列启动项：
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Torjan Program" = %WinDir%\winlogon.exe
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  
  "Shell" = explorer.exe 1
  
  这样，在Windows启动时，病毒就可以自动执行。
  
  病毒通过修改下列注册表键值，改变IE默认主页等信息：
  
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
  
  "Check_Associations" = no
  
  病毒通过修改下列注册表键值，修改文件关联：
  
  [HKEY_CLASSES_ROOT\dunfile\shell\open\command]
  "" = %systemroot%\system32\rundll32.com netshell.dll,invokedunfile %1
  
  [HKEY_CLASSES_ROOT\file\shell\open\command]
  "" = rundll32.com url.dll,fileprotocolhandler %l
  
  [HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
  "" = "c:\program files\internet explorer\iexplore.com" -nohome
  
  这样，用户打开任何dun  html文件，都会再次运行病毒程序。
  
         大家可以看到，该木马会生成很多文件，并且文件的大小都是一样的，这可能就是落雪木马名称的由来吧！其实这些文件都是同一个文件，只是文件名称不同而已。生成的病毒文件模拟成正常的工具名称，只是扩展名该成了 .com，这是利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，当用户调用 Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，可见病毒作者的“良苦用心”。
  落雪木马会创建一个名为winlogon.exe 的进程，这个进程的路径是c:\windows\winlogon.exe，以此来迷惑用户。
  
  
  
  落雪木马文件分布如下：
  
  
  
  
  落雪木马会创建以下键值实现开机自启动：
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Torjan Program"="CWINNT\WINLOGON.EXE"
  注册表位置如图：
  
  
  
  落雪木马还有一个很特别的地方，就是这个木马不仅仅感染C盘，还会在D 盘中也留下木马文件，如图：
  
  
  autorun.inf 文件是一个自动运行的脚本程序，里面内容如下，
  
  
  
  [autorun]
  OPEN=D:\pagefile.pif
  
  很明显，即便是用户中毒之后将C盘的病毒杀干净了，一旦双击D盘还会重新感染落雪木马，可见这个木马的作者利用了人门很多操作习惯上的漏洞。
  
  "Generic host process for win32 services遇到问题需要关闭"
  
  附江民”落雪“专杀工具
  http://www.jiangmin.com/download/TrojanKiller.exe
• 上一主题: 十句经典爱心言语 下一主题: Generic host process for win32 services
• 查找相关文章:pagefile.pif病毒专杀 autorun.inf病毒专杀