病毒解决方法

引用

转载

http://www.9dnw.com/bd/qc/2009/1023/1021.html
0.bat，wmitpfs.dll病毒清除方法
收录时间：2009-10-23 21:45:45   来源:www.9dnw.com   作者:救电脑网   【大 中 小】点击： 598
病毒详细解析

最近朋友的qq总是无缘无故上了过一会就掉线，有些杀软（瑞星、江民、光华等）检查不到木马病毒，昨天帮他分析了以下结果，如有疑问可联

系我，或者在我的网站留言给我，我会尽快回复！

病毒分析
（1）判断自身是否为%SystemRoot%\explorer.exe,如果是，则执行explorer.exe。
（2）初始化Native Unicode字符串"\BaseNamedObjects\6953EA60-8D5F-4529-8710-42F8ED3E8CDA",获取当前进程列表，查找进程
"avp.exe"是否存在，如果找到，调用DuplicateHandle函数复制该进程句柄，然后通过创建事件对象，更换进程令牌，并且枚举
系统句柄表把avp.exe的运行环境破坏掉，达到终止其进程目的。
（3）提升自身进程权限，创建进程命名管道，分别为:\\.\pipe\TNTH7l38CH41SYSSVC_PIPE、\\.\pipe\QQH7l38CH41_SYSTEM_SVC_PIPE、
\\.\pipe\THH417l_PNTI8CSPE3YSSVC,实现进程简数据共享。
（4）释放动态链接库%SystemRoot%\system32\wmitpfs.dll,并创建名为"wmitpfs"的服务，通过该服务加载wmitpfs.dll。
（5）获得进程快照，查找"QQ 2009"进程是否存在，如果找到，终止该进程，并将%SystemRoot%\system32\wmitpfs.dll注入到
%SystemRoot%\explorer.exe进程。
（6）监视"QQ 2009"登录框的帐号、密码输入及按钮事件，将获得的帐号密码加密后发送到黑客指定网址，完成QQ号的盗取。
（7）释放批处理文件%TEMP%\0.bat并执行，删除自身和0.bat，退出进程。
病毒创建文件：
%SystemRoot%\system32\wmitpfs.dll
%TEMP%\0.bat
病毒删除文件：
%TEMP%\0.bat
    
病毒创建注册表：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
该样本是使用“VC”编写的盗 号木马，采用“FSG 2.0”加壳方式，企图躲避特征码扫描，加壳后长度为“57,461 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取“QQ 2009”帐号密码。用户中毒后，会出现网络速度降低,运行QQ后系统运行缓慢，“QQ 2009”无故退出，QQ号被盗等现象。感染98以上系统
手动解决办法：
病毒文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　病毒文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”

1、手动删除以下文件：
　　
%SystemRoot%\system32\wmitpfs.dll
2、手动删除以下注册表值：
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs


--文章来自救电脑网：http://www.9dnw.com/bd/qc/2009/1023/1021.html
--救电脑网——排除电脑故障！