Worm.Win32.DownLoad.iz GR.PIF 解决方案 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Worm.Win32.DownLoad.iz GR.PIF 解决方案

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

Worm.Win32.DownLoad.iz GR.PIF 解决方案

本主题由在线技术支持工程师瑞星工程师20 于 2012-2-28 15:20:08 执行移动主题操作

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2008-09-30 02:57 \| 只看楼主短消息资料字号：小中大 1楼 Worm.Win32.DownLoad.iz GR.PIF 解决方案文件名称: GR.PIF 文件大小: 12036 bytes MD5: eb92f0f76fdf5316c193cef1f56c2238 加壳: WinUpack 编写语言: N/A 病毒名: kaspersky: Worm.Win32.AutoRun.otv rising: Worm.Win32.DownLoad.iz duba: Win32.TrojDownloader.RessdxT.uk.253952 详细资料: 文件变化: 释放文件 %SystemRoot%\system32\wanifts.dll c:\temp.temp 替换系统文件 %SystemRoot%\system32\wuauclt.exe %SystemRoot%\system32\dllcache\wuauclt.exe %SystemRoot%\system32\Drivers\beep.sys 各分区根目录释放 X:\GR.PIF X:\AUTORUN.INF autorun.inf 内容: [复制到剪贴板] CODE: [AutoRun] shell\open=打开(&O) shell\open\Command=GR.PIF shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\command=GR.PIF 注册表变动: 病毒创建启动项 [复制到剪贴板] CODE: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] "internetnet"="%SystemRoot%\system32\wuauclt.exe" 修改注册表项禁用"显示所有文件和文件夹" [复制到剪贴板] CODE: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000002 删除注册表项破坏"安全模式" [复制到剪贴板] CODE: [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] [HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] 其他行为: 通过 cacls.exe 命令修改下列文件访问控制权限 [复制到剪贴板] CODE: %SystemRoot%\system32\packet.dll %SystemRoot%\system32\pthreadVC.dll %SystemRoot%\system32\wpcap.dll %SystemRoot%\system32\drivers\npf.sys %SystemRoot%\system32\npptools.dll %SystemRoot%\system32\drivers\acpidisk.sys %SystemRoot%\system32\wanpacket.dll c:\Documents and Settings\All Users\「开始」菜单\程序\启动调用ie访问 58.53.128.146 下载病毒.. 病毒修改系统年份: [复制到剪贴板] CODE: 2004 创建 Image File Execution Options 劫持安全相关程序,当被劫持程序运行,实际运行的是病毒主程序. [复制到剪贴板] CODE: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTIARP.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArSwp.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.COM] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFUpd.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASARP.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.KXP] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSTray.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Runiep.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREngLdr.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.KXP] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE] 清除方法: 1. 下载 IceSword(冰刃) 解压运行冰刃 2. 文件(冰刃界面左上)-设置勾上禁止进线程创建和禁止协议功能 3. 冰刃=>进程=>结束下列进程 wuauclt.exe 和 GR.PIF 进程=>关闭冰刃 4. 下载本帖附件=>解压=>运行 killgr.bat 5. 重启计算机 6. 下载System Repair Engineer （点击下载）解压=>运行=>系统修复=>高级修复=>修复安全模式 7. 修改系统时间 8. 从相同的操作系统中拷贝下列系统文件,复制到相同位置 %SystemRoot%\system32\wuauclt.exe %SystemRoot%\system32\dllcache\wuauclt.exe %SystemRoot%\system32\Drivers\beep.sys 备注: 本处理方法不能清除病毒联网下载的病毒. 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; CIBA) 附件: 文件名:killgr.rar 下载次数:491 文件类型:application/octet-stream 文件大小: 上传时间:2008-9-30 2:56:38 描述:rar mopery 最后编辑于 2008-09-30 11:36:19
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2008-09-30 08:59 \| 短消息资料字号：小中大 2楼回复：Worm.Win32.DownLoad.iz GR.PIF 解决方案 c:\Documents and Settings\All Users\「开始」菜单\程序\启动文件夹内的那个*.pif在NTFS的系统盘里，不少人因为可以直接看到，所以特关心它的删除实际上可能好几个其它文件也被在权限上做了文章吧？
天月来了版主帖子:76897 注册: 2007-02-06 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-09-30 09:06 \| 短消息资料字号：小中大 3楼回复 2F 天月来了的帖子设置为NTFS的只读权限？ aaccbbdd 最后编辑于 2008-09-30 09:07:23
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

大连蓝天社区嘉宾帖子:20967 注册: 2004-02-17 来自:	发表于： 2008-09-30 10:44 \| 短消息资料字号：小中大 4楼回复：Worm.Win32.DownLoad.iz GR.PIF 解决方案感谢，已阅。
大连蓝天社区嘉宾帖子:20967 注册: 2004-02-17 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2008-09-30 11:39 \| 只看楼主短消息资料字号：小中大 5楼回复: Worm.Win32.DownLoad.iz GR.PIF 解决方案引用: 原帖由天月来了于 2008-9-30 8:59:00 发表 c:\Documents and Settings\All Users\「开始」菜单\程序\启动文件夹内的那个.pif在NTFS的系统盘里，不少人因为可以直接看到，所以特关心它的删除实际上可能好几个其它文件也被在权限上做了文章吧？ gr.pif 实际上没生成启动文件夹内的 .pif 联网后下载来的病毒所生成的.. 等会把联网的病毒下回来瞧瞧,.
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

kekao 快乐黄口狮帖子:151 注册: 2008-03-08 来自:	发表于： 2008-09-30 17:15 \| 短消息资料字号：小中大 6楼回复：Worm.Win32.DownLoad.iz GR.PIF 解决方案 %SystemRoot%\system32\Drivers\beep.sys这个不用替换吧.关于这个,我记得小聪版主有过说明.http://bbs.ikaka.com/showtopic-8545588.aspx
kekao 快乐黄口狮帖子:151 注册: 2008-03-08 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2008-10-01 11:03 \| 短消息资料字号：小中大 7楼回复：Worm.Win32.DownLoad.iz GR.PIF 解决方案 beep.sys只是临时替换一下的。主要是还原SSDT的。此毒是穿还原的。前不久给某校的机房重做系统时遇到过。
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-10-01 13:27 \| 短消息资料字号：小中大 8楼回复：Worm.Win32.DownLoad.iz GR.PIF 解决方案原来只不过是mm.exe的又一个变种而已。之前变种的分析见http://bbs.ikaka.com/showtopic-8545588.aspx 可以看到除了某些文件名修改了一下之外，其他的并没有什么改变。病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT