发表于: 2007-05-29 23:02 | 显示全部 短消息 资料
字号: 1楼

【讨论】U盘病毒GHOST.PIF 警惕 分析解决

这个病毒 进期 利用U盘传播盛行 望大家 对U盘 进行免疫 
如果你把U盘插上这台电脑发现 U盘成 autorun.inf 和GHOST.PIF 这两个隐藏文件 那说明你中了此毒 

是 Trojan-Downloader.Win32.Agent.bmo上个版本 

运行病毒 
修改EXPLORE.EXE 允许 DLL注入 
释放 

C:\Program Files\Internet Explorer\romdrivers.dll加入启动项 
C:\Documents and Settings\Administrator\Local Settings\Temp\woso0.dll 
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso0.dll 
C:\Documents and Settings\Administrator\Local Settings\Temp\mhso0.dll 
注入EXPLORE.EXE进程 

生成 
C:\Program Files\Internet Explorer\romdrivers.bkk 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe>   
    <ztsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe> 
    <mhsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe 
以上EXE加入启动项 


添加 驱动服务 
HKLM\SYSTEM\CurrentControlSet\Services\NPF 
c:\system32\drivers\npf.sys 

autorun.inf 和GHOST.PIF两个文件 


连接 67:159:53.53端口80下载病毒 
关闭浏览器 

如果有U盘插如 生成 autorun.inf 和GHOST.PIF 这两个隐藏文件  表现为双击病毒运行 



解决方法 
断开网络   

清空IE临时文件夹 
需要工具:冰刃, SREG  ,360 


运行冰刃-找到进程explorer.exe-右键-模块信息找到 以下卸载 
  [C:\Program Files\Internet Explorer\romdrivers.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso0.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso0.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll] 
结束进程SVCHOST.EXE路径是C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe 对应的路径别结束错了
 

运行SRENG点“启动项目,服务,点“驱动服务”勾选“隐藏微软服务”选中病毒服务Netgroup Packet Filter / NPF选择“删除服务”点“设置”选择“否”最后重启 


使用 启动选项 -注册表 
删除以下 
<wosa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe>  [] 
    <ztsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe>  [] 
    <mhsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe> 
<{09B68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> 


双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示确定更改时,单击“是”,清除“隐藏已知文件类型的扩展名 
删除 
[C:\Program Files\Internet Explorer\romdrivers.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso0.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso0.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll 
C:\Program Files\Internet Explorer\romdrivers.bkk 
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe>   
    <ztsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe> 
    <mhsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe 

C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe
使用360清除流氓软件 重起升级杀毒软件全盘杀毒 


U盘解决 右键打开 U盘删除 autorun.inf 和GHOST.PIF 

使用超级巡警U盘免疫器对U盘进行免疫 

 

+·§ÊÄêåP[hbbs.ikaka.com\] &dot_ß±
最后编辑2007-06-13 13:57:17