病毒信息

详细资料(文件变化: 注册表变动: 其他行为:)

清除方法

病毒信息

文件名称: GR.PIF

文件大小: 12036 bytes

MD5: eb92f0f76fdf5316c193cef1f56c2238

加壳: WinUpack

编写语言: N/A

详细资料

文件变化:

释放文件%SystemRoot%\\system32\\wanifts.dllc:\\temp.temp

替换系统文件%SystemRoot%\\system32\\wuauclt.exe%SystemRoot%\\system32\\dllcache\\wuauclt.exe%SystemRoot%\\system32\\Drivers\\beep.sys各分区根目录释放X:\\GR.PIFX:\\AUTORUN.INFautorun.inf 内容:[AutoRun] shell\\open=打开(&O) shell\\open\\Command=GR.PIF shell\\open\\Default=1 shell\\explore=资源管理器(&X) shell\\explore\\command=GR.PIF

注册表变动:

病毒创建启动项[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run]"internetnet"="%SystemRoot%\\system32\\wuauclt.exe"修改注册表项禁用"显示所有文件和文件夹:[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]"CheckedValue"=dword:00000002删除注册表项破坏"安全模式"[HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}][HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318}]

其他行为:

通过 cacls.exe 命令修改下列文件访问控制权限%SystemRoot%\\system32\\packet.dll%SystemRoot%\\system32\\pthreadVC.dll%SystemRoot%\\system32\\wpcap.dll%SystemRoot%\\system32\\drivers\pf.sys%SystemRoot%\\system32\pptools.dll%SystemRoot%\\system32\\drivers\\acpidisk.sys%SystemRoot%\\system32\\wanpacket.dllc:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动

调用ie 下载病毒..病毒修改系统年份:2004创建 Image File Execution Options 劫持安全相关程序

清除方法

1. 下载 IceSword(冰刃)解压 运行冰刃

2. 文件(冰刃界面左上)-设置勾上 禁止进线程创建 和 禁止协议功能

3. 冰刃=>进程=>结束下列进程 wuauclt.exe 和 GR.PIF 进程=>关闭冰刃

4. 下载附件（附件请到剑盟下载）=>解压=>运行 killgr.bat

5. 重启计算机

6. 下载System Repair Engineer 解压=>运行=>系统修复=>高级修复=>修复安全模式

7. 修改系统时间

8. 从相同的操作系统中拷贝下列系统文件,复制到相同位置%SystemRoot%\\system32\\wuauclt.exe%SystemRoot%\\system32\\dllcache\\wuauclt.exe%SystemRoot%\\system32\\Drivers\\beep.sys