Virus Analysis Lab 在百度查到的博客

值得注意的lsass.exe cmd.pif page.pif .~tmp _system~.ini

SREng日志有以下项目出现：

启动文件夹
[cmd]
  <C:\Documents and Settings\用户名\「开始」菜单\程序\启动\cmd.pif -->  [N/A]><N>
[PID: 868][C:\WINDOWS\system32\drivers\lsass.exe]  [N/A, N/A]

生成文件：
\WINDOWS\System32\drivers\lsass.exe
cmd.pif
page.pif

[AutoRun]
open=page.pif
shellexecute=page.pif
并有大量_system~.ini、*.~tmp文件垃圾文件产生


感染exe文件，在头部写入32777字节病毒代码，尾部写入32760字节病毒代码，程序运行时在.exe后跟有.p标志（例killer.exe.p）

任务管理器中出现2个lsass.exe.一个是正常的在system32下.另外一个在system32/drivers/lsass.exe 下.估计是病毒.
启动项中出现cmd.pif
在各个驱动器根目录下出现_system~.ini
诺顿11月18日更新后可以识别但是无法清除.现在我硬盘上的几乎所有exe文件都因为感染被隔离了.T_T

sysmantec网站的安全响应这样定义
W32.Pagipef
Risk Level 1: Very Low !!!!!!!! 我晕
Discovered: November 16, 2006  (很新鲜的)
Updated: November 17, 2006 05:07:19 PM GMT
Type: Virus
Infection Length: 32,768 bytes
我还没有找到解决办法.如果你有请告诉我好吗.

C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\drivers\lsass.exe
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
安全模式下删除并修复。。如果删不掉的可以借助killbox里的替换功能