病毒創建啟動項[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]"internetnet"="%SystemRoot%\system32\wuauclt.exe"
基本介紹
- 中文名:GR.PIF
- 檔案大小:12036 bytes
- 加殼:WinUpack
- 編寫語言:N/A
病毒信息,詳細資訊,檔案變化,註冊表變動,其他行為,清除方法,
病毒信息
檔案名稱稱: GR.PIF
檔案大小: 12036 bytes
MD5: eb92f0f76fdf5316c193cef1f56c2238
加殼: WinUpack
編寫語言: N/A
詳細資訊
檔案變化
釋放檔案%SystemRoot%\system32\wanifts.dllc:\temp.temp
替換系統檔案%SystemRoot%\system32\wuauclt.exe%SystemRoot%\system32\dllcache\wuauclt.exe%SystemRoot%\system32\Drivers\beep.sys各分區根目錄釋放X:\GR.PIFX:\AUTORUN.INFautorun.inf 內容:[AutoRun] shell\open=打開(&O) shell\open\Command=GR.PIF shell\open\Default=1 shell\explore=資源管理器(&X) shell\explore\command=GR.PIF
註冊表變動
修改註冊表項禁用"顯示所有檔案和資料夾:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000002刪除註冊表項破壞"安全模式"[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}][HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
其他行為
通過 cacls.exe 命令修改下列檔案訪問控制許可權%SystemRoot%\system32\packet.dll%SystemRoot%\system32\pthreadVC.dll%SystemRoot%\system32\wpcap.dll%SystemRoot%\system32\drivers\npf.sys%SystemRoot%\system32\npptools.dll%SystemRoot%\system32\drivers\acpidisk.sys%SystemRoot%\system32\wanpacket.dllc:\Documents and Settings\All Users\「開始」選單\程式\啟動
調用ie 下載病毒..病毒修改系統年份:2004創建 Image File Execution Options 劫持安全相關程式
清除方法
1. 下載 IceSword(冰刃)解壓 運行冰刃
3. 冰刃=>進程=>結束下列進程 wuauclt.exe 和 GR.PIF 進程=>關閉冰刃
4. 下載附屬檔案(附屬檔案請到劍盟下載)=>解壓=>運行 killgr.bat
5. 重啟計算機
6. 下載System Repair Engineer 解壓=>運行=>系統修復=>高級修復=>修復安全模式
7. 修改系統時間
8. 從相同的作業系統中拷貝下列系統檔案,複製到相同位置%SystemRoot%\system32\wuauclt.exe%SystemRoot%\system32\dllcache\wuauclt.exe%SystemRoot%\system32\Drivers\beep.sys
