
平臺論壇博客文庫

論壇徽章:: 0

電梯直達

1樓 [收藏(0)] [報告]

發(fā)表于 2004-06-18 19:18 |只看該作者 |倒序瀏覽

如題！先謝謝了……（有實戰(zhàn)經(jīng)驗的費心）還有，請告知WINFILE 到底是個什么樣的病毒。我看有點像“歡樂時光”呢，但比歡樂時光還要厲害。

文庫|博客

信息安全漏洞周報第414期.pdf
信息安全漏洞月報（2018年5月）.pdf
信息安全漏洞周報第409期.pdf
我所了解的通信協(xié)議是這樣的.pdf
網(wǎng)絡(luò)安全絕不是裝個殺毒軟件這么簡單.docx
kafka刪除topic
大白話了解哈希洪荒攻擊
cratedb導(dǎo)入json數(shù)據(jù)
REdis一致性方案探討

obsidian_cn

白手起家

論壇徽章:: 0

2樓 [報告]

發(fā)表于 2004-06-18 19:30 |只看該作者

向高手求救——WINFILE 病毒怎么徹底清除，偶找不到專殺工具呀。

關(guān)于病毒winfile.exe『轉(zhuǎn)帖』

原作者不祥

[winfile.exe]
[病毒名]：I-Worm.Wukill
[破壞方法]：這個病毒采用文件夾圖標，具有很大迷惑性。該病毒運行后，會將自己大量復(fù)制到其他目錄中。

一、病毒首次運行時將顯示"This File Has Been Damage!"；

二、將自己復(fù)制到windows目錄下并改名為Mstray.exe；

三、修改注冊表：    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
以達到其自啟動的目的；

四、枚舉磁盤目錄，在每個根目錄下釋放下列文件：
winfile.exe  病毒主體程序
comment.htt  利用IE漏洞調(diào)用同一個目錄下的"winfile.exe"，屬性為隱藏。
desktop.ini 系統(tǒng)為隱藏。采用web方式瀏覽文件夾時，系統(tǒng)會調(diào)用該文件，該文件調(diào)
用comment.htt ，從而激活病毒。

五、病毒修改注冊表，隱藏系統(tǒng)文件、隱藏受系統(tǒng)保護的文件、隱藏已知的擴展名稱。
這樣，用戶看不到comment.htt和Desktop.ini， winfile.exe被隱藏后綴明，又是文件
夾圖標，用戶極容易認為是文件夾而點擊。
同時病毒在當前路徑下生成的自身拷貝，名稱采用上級目錄，或者是當前窗口的標題，
增加隱蔽性。

六、病毒調(diào)用Outlook發(fā)送攜帶病毒的信件。

如果你要手工清除

在沒有殺毒軟件的情況下)
首先:找到Mstray.exe(注意這個是系統(tǒng)
和隱藏的文件,所以大家應(yīng)該知道怎
   么才能找到它了,在系統(tǒng)文件夾下),
刪除掉.
   并修改注冊表,去掉對應(yīng)的啟動項.
接著:利用的Windows的搜索功能,搜索所
有的:
Winfile.exe,comment.htt,
   desktop.ini(注意:查看->;去掉系
統(tǒng)保護,去掉隱藏)
   刪除!注意還得清楚不要刪錯了哦!
有些desktop.ini是windows原有
   的文件)
最后:查找硬盤內(nèi)所以的[*.exe]文件,
(注意:如上),你會發(fā)現(xiàn)好多的文件夾
圖標形式的.exe 文件,刪除掉所有
這些文件.一切OK!

如果你的系統(tǒng)是2000/XP,搜索所有的WINFILE.EXE,并將這些文件全部徹底刪除.再搜索Mstray.exe,將找到的程序徹底刪除.
如果你的系統(tǒng)是98/ME,別隨便刪除,因為98/ME中有這樣一個實用程序文件.

這時對照看看是不是有這些特征:

這個病毒采用文件夾圖標，具有很大迷惑性。該病毒運行后，會將自己大量復(fù)制到其他目錄中。
一、病毒首次運行時將顯示"This File Has Been Damage!"；
二、將自己復(fù)制到windows目錄下并改名為Mstray.exe；
三、修改注冊表：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
以達到其自啟動的目的；
四、枚舉磁盤目錄，在每個根目錄下釋放下列文件：
winfile.exe 病毒主體程序
coment.htt 利用IE漏洞調(diào)用同一個目錄下的"winfile.exe"，屬性為隱藏。
desktop.ini 系統(tǒng)為隱藏。采用web方式瀏覽文件夾時，系統(tǒng)會調(diào)用該文件，該文件調(diào)用coment.htt ，從而激活病毒。
五、病毒修改注冊表，隱藏系統(tǒng)文件、隱藏受系統(tǒng)保護的文件、隱藏已知的擴展名稱。
這樣，用戶看不到coment.htt和desktop.ini， winfile.exe被隱藏后綴明，又是文件夾圖標，用戶極容易認為是文件夾而點擊。
同時病毒在當前路徑下生成的自身拷貝，名稱采用上級目錄，或者是當前窗口的標題，增加隱蔽性。
六、病毒調(diào)用Outlook發(fā)送攜帶病毒的信件。

如果是這樣,只要刪除上面所說的文件,改回注冊表就可以了.

祝你好運!

實戰(zhàn)分享：從技術(shù)角度談機器學習入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

bingocn

豐衣足食

論壇徽章:: 0

3樓 [報告]

發(fā)表于 2004-06-18 19:34 |只看該作者

向高手求救——WINFILE 病毒怎么徹底清除，偶找不到專殺工具呀。

好像沒專殺工具，但是升級殺毒軟件應(yīng)該都可以殺吧。去年的病毒了。

google : winfile 殺毒

11.I-Worm.Wukill.b
破壞方法：這個病毒采用文件夾圖標，具有很大迷惑性。一旦中毒，很快感染磁盤的所有目錄。

一、病毒首次運行，顯示
      This File Has Been Damage!

   其實拷貝自身到windows目錄Mstray.exe。
修改注冊表：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"RavTime" : %WINDOWS%\MSTRAY.EXE
以達到自啟動的目的。

二、用戶啟動機器后，激活病毒。
   病毒枚舉磁盤目錄，在每個根目錄下釋放下列文件：
   winfile.exe（病毒程序）

   病毒修改注冊表，隱藏系統(tǒng)文件、隱藏受系統(tǒng)保護的文件、隱藏已知的擴展名稱。

   病毒在當前路徑下生成的自身拷貝，名稱采用上級目錄，或者是當前窗口的標題，增加隱蔽性。

三、病毒調(diào)用Outlook發(fā)送攜帶病毒的信件。