查看完整版本: 这个怎么清除?

这个怎么清除?

1.系统时间被强行修改为2004年（只修改了年，没有月，日），计算机安全中禁止了修改系统时间，重启，bios修改时间，无效，开机后立即变成了2004；
2.显示隐藏文件和不显示隐藏文件同时被选中，修改注册表，重启无效；
3.每个盘符下边都有autorun.inf,和msrs.exe，autorun.inf 直接运行 msrs.exe,由于无法显示隐藏文件，利用winrar查看，并删除，但是删除之后立即又生成；
4.安全模式被劫持，修复之后重启，关机速度超慢，进入不了安全模式；
5.杀毒软件无法安装；
6.双击盘符，总是以新窗口打开；
7.重装系统，上述问题依旧！
[color=#333399]病毒在启动目录下产生了一个4.pif文件[/color]

回复 1楼 的帖子

最新发现的RSVS.pif病毒行为分析2008年08月18日 02:30从百度搜索不到RSVS.pif的信息，看来是新病毒，我来分析一下咯！

改程序加壳：nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping（PEiD扫描结果）

RSVS.pif其实是标准的exe程序，将其扩展名更改为exe可以发现它的描述是Windows Update Manager for NT，公司为Microsoft Corporation，图标就是wuauclt.exe的图标，显然，它使用Windows升级程序wuauclt.exe的程序资源段进行的全副武装。
RSVS.pif运行后（RSVS.exe同样可以运行，效果肯定是完全相同的）做了这几件事：
1、向system32写入wuauclt.exe文件，也就是替换了系统的自动更新程序
2、向dllcache也写入wuauclt.exe文件，这样系统就无法还原正确的系统文件了。让我惊奇的是，它对系统程序的替换并没有惊动sfc——也就是说没有弹出系统文件被替换的窗口，连csrss.exe都骗过了，做的很绝。
3、在drivers创建beep.sys驱动，它修改系统时间为2004年，很多杀毒软件都会因为时间不正确而无法正常工作，比如卡巴就会弹出激活文件提示、nod32直接退出。
4、向C盘写入lo.tmp文件（经校验md5发现和RSVS.pif内容完全相同），向所有分区下复制RSVS.pif文件，并生成autorun.inf文件，其内容为：

[AutoRun]
shell\open=打开(&O)
shell\open\Command=RSVS.PIF
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=RSVS.PIF

这是很典型的U盘病毒行为了，通过autorun.inf使原本由explorer.exe打开的资源管理器就由RSVS.PIF接管了，当双击或者在资源管理器中打开某一分区时，病毒运行，并在新窗口打开该分区，这是病毒的一个bug了，在新窗口打开分区会使用户感到不对劲的，建议病毒作者再学习一下explorer的调用参数，不要在新窗口打开资源管理器了（哈哈，我开玩笑的）。
5、反查杀手段：破坏注册表，无法显示隐藏文件和系统文件（注意我在1、2、3、4中提到的病毒所产生的文件全部具有系统、隐藏属性）；禁用注册表（其实将regedit.exe改名为regedit.com照样用），病毒在启动目录下产生了一个4.pif文件，一看就知道是病毒，文件名很可能是随机的，病毒用这么笨的手段自动运行，搞笑；禁用使用系统实用配置程序，当在运行msconfig时显示文件正被其他程序使用；360安全卫士无法安装（看样是国产病毒哦），其他杀毒软件很可能也无法安装……


下面是VirSCAN.org的杀毒报告：
VirSCAN.org Scanned Report :
Scanned time   : 2008/08/18 02:06:50 (CST)
Scanner results: 36%的杀软(13/36)报告发现病毒
File Name      : RSVS.PIF
File Size      : 14210 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 065a5e830b2f6c44f330239475ae3cae
SHA1           : 43f3910b80273db6282a5be32d448a79fc466dc5
Online report : [url]http://virscan.org/report/20f83ca96320ad8afd4ac575455fcccd.html[/url]

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.22        2008.08.17        2008-08-17 14.48 -
安博士V3       2008.08.15.00   2008.08.15        2008-08-15 0.97   -
AntiVir        7.8.1.19        7.0.6.24          2008-08-16 2.31   TR/Crypt.FKM.Gen
Arcavir        1.0.5           200808161418      2008-08-16 1.19   -
AVAST!         3.0.1           080817-0          2008-08-17 0.01   -
AVG            7.5.51.442      270.6.4/1617      2008-08-17 1.99   -
BitDefender    7.60825.1555604 7.20558           2008-08-18 2.85   Win32.Worm.Autorun.LW
CA (VET)       9.0.0.143       31.6.6035         2008-08-15 14.93 -
ClamAV         0.93.3          8051              2008-08-16 0.01   -
Comodo         2.11            2.0.0.619         2008-08-17 0.93   -
CP Secure      1.1.0.715       2008.08.18        2008-08-18 6.13   -
Dr.Web         4.44.0.9170     2008.08.17        2008-08-17 3.11   Trojan.Packed.152
ewido          4.0.0.2         2008.08.17        2008-08-17 4.61   -
F-Prot         4.4.4.56        20080817          2008-08-17 1.27   W32/OnlineGames.A.gen!GSA (generic, not disinfectable)
F-Secure       5.51.6100       2008.08.17.01     2008-08-17 0.04   -
飞塔           2.81-3.11       9.436             2008-08-18 2.66   Suspicious
ViRobot        20080816        2008.08.16        2008-08-16 1.04   -
Ikarus         T3.1.01.34      2008.08.17.71291 2008-08-17 3.40   Backdoor.Win32.Agent.ahj
江民杀毒       11.0.706        2008.08.17        2008-08-17 1.37   -
卡巴斯基       5.5.10          2008.08.17        2008-08-17 0.03   -
金山毒霸       2008.1.14.15    2008.8.17.15      2008-08-17 6.91   Win32.Troj.Downloader.if.58880
迈克菲         5.2.00          5362              2008-08-15 2.55   New Malware.dw
Microsoft      1.3807          2008.08.17        2008-08-17 10.37 -
mks_vir        2.01            2008.08.17        2008-08-17 2.62   -
Norman         5.93.01         5.93.00           2008-08-15 4.83   W32/Hupigon.gen67
熊猫卫士       9.05.01         2008.08.17        2008-08-17 8.58   -
趋势科技       8.700-1004      5.482.22          2008-08-17 0.03   -
Quick Heal     9.50            2008.08.16        2008-08-16 5.24   Win32.Packed.Klone.ap03
瑞星           20.0            20.57.62.00       2008-08-17 3.51   -
Sophos         2.77.0          4.32              2008-08-18 2.02   Mal/Behav-204
Sunbelt        3.1.1546.1      2193              2008-08-14 2.19   VIPRE.Suspicious
赛门铁克       1.3.0.24        20080817.003      2008-08-17 2.25   -
nProtect       2008-08-14.01   1801264           2008-08-14 12.60 -
The Hacker     6.2.96          v00396            2008-08-11 1.05   W32/Behav-Heuristic-067
VBA32          3.12.8.3        20080816.1123     2008-08-16 1.15   -
VirusBuster    4.5.11.10       10.84.3/598170    2008-08-17 0.86   -

看来金山挺争气的，卡巴、瑞星、江民都不吱声啦。
至于如何杀毒，自己想想办法吧，看起来不难吧（今天很晚了，不想分析了），如果你不想动脑筋，那就用金山或者大蜘蛛杀杀毒吧。

看得我满天星

我公司就中了这样的病毒，快帮我解决啊

我公司许多电脑就中了这样的病毒，快帮我解决啊。用金山毒霸杀不干净的，进程中有wuauclt及pif文件显示。能提示清除成功，但重启后又出来了。金山公司也提取了病毒样本，但没有结果出来。有没有高手帮我想想处理办法啊。取了几张图片及病毒样本，请高手帮忙看看。

感谢您提供的样本,我们稍后就会进行鉴定，请实时更新毒霸。
希望您继续支持毒霸，谢谢!

昨天机子中了病毒，中之前刚升级完，但还是无法解决。运行毒霸的时候杀不干净，提示重启，点击重启之后毒霸被劫持，网标也被劫持，在桌面生成一个X.PIF的快捷键。无法上网。请问有什么方法可以解决？

请楼主把该样本找出，然后发给我，我们方可鉴定并处理