3.pif恶意程序的手工清理步聚
故障现象:
中招的电脑会出现以下一种或多种现象:
1、“启动”项中出现一名为“3.pif”的程序。
2、开始菜单经常会提示有新安装的程序。
3、会发出ARP攻击。
4、时间被修改为2004年。
5、不能进入到安全模式,进入过程中自动重启。
6、安装360安全卫士期间,其安装界面上的“下一步”或“继续”等按钮会消失,从而不能完成安装。
7、已经安装360安全卫士的电脑,当弹出安全提示信息,让用户选择如何操作时,类似“拒绝执行”、“卸载”这样的按钮都会消失。
8、每个硬盘分区的根目录中均有“autorun.inf”文件。
9、每个硬盘分区中,均存在一些类似“3.pif”,“10.pif”,“5.pif”这样的系统隐藏属性文件。
10、文件夹选项中“查看”标签页中的“隐藏文件和文件夹”项中的两个可选项,应该是二选一的,现在变成了两个同时被选中。
11、关机极慢。
12、。。。。。。
故障原因:
只能笼统地说是恶意程序所致。但到写此文时,尚没有权威机构的认定和命名。它也会下载若干种其它恶意程序进入受感染的电脑,并且其组成文件采用了驱动级的文件保护。因不能进入安全模式,给查杀和清除带来了不小的麻烦。
处理步骤:
综合网友的经验和建议,加上自己的一些摸索,再归纳如下:
主要是三大步:一、清除恶意程序的主文件,为下一步清理提供必要的环境。二、清除恶意程序残余并修复电脑被修改的设置。三、进行全盘查杀,以确保无漏网之鱼。
为了完成以上三大步, 我们需要如下工具软件:
1、萝卜家园工具盘中的附带的光盘启动的XP环境(PE)。
[url]http://www.uam.cc/download/bencandy.php?&fid=11&id=734[/url]
注:该版本不是我正在使用的版本,是最新版。我正在使用的下载地址找不到了。但从说明和界面上看,功能类似,应该比我使用的更好。
2、UnLocker1.8.7
已附在本文的附件中。
注:利用该软件,可以删除正在使用和保护中的文件。安装中,其附带有一个EBAY的插件,建议不选择它。
3、SRENG系统修复工具
[url]http://www.kztechs.com/sreng/download.html[/url]
注:绿色软件,无需安装,解压后直接运行。
4、SRENG日志分析助手1.3
[url]http://www.dodudou.com/down/download.php?fname=./01[/url].原创软件/SREngLog 分析助手1.3.rar
注:绿色软件,无需安装,解压后直接运行。
5、通用病毒杀灭机1.2
[url]http://www.dodudou.com/down/download.php?fname=./01[/url].原创软件/通用病毒杀灭机1.2家用电脑版.rar
注:绿色软件,无需安装,解压后直接运行。
6、360顽固木马专杀工具
[url]http://dl.360safe.com/360compkill.zip[/url]
注:绿色软件,无需安装,解压后直接运行。
7、360安全卫士
[url]http://down.360safe.com/setup.exe[/url]
8、恶意软件清理助手
[url]http://www.tommsoft.com/Products.aspx?pid=2[/url]
注:其主页上显示有新版本了,叫“恶意软件清理助手2008”,不过我没使用过。这里仍然提供是以前版本的。这是个绿色软件,无需安装,解压后可以直接运行。运行后,记得首先升级。升级成功后,再进行后续的操作。
进行操作前,先把网络断掉,以免清除掉的恶意程序,再次从网络上下载到本机,同时,也可以防止故障机对其它正常电脑的影响。另外,在打开磁盘时,一定要使用“资源管理器”来打开和操作,不要双击去打开。以免前功尽弃。下边详细说明:
一、清除恶意程序的主文件,为下一步清理提供必要的环境。
1、设置电脑从光盘启动,放入“萝卜家园”工具盘,在其启动菜中选择2,使电脑进入其PE环境。
2、进入PE的WINXP桌面后,安装UNLOCKER。
3、搜索并删除如下文件:
*.pif (后缀名为pif文件是一种早期的程序信息文件,目前已基本不用。删除时请大家注意区分是不是真正有用的。对于本次情况,通常出现在根目录,或者文件属性为隐藏或系统属性的,应该都是病毒文件。)
wuauclt.* (WINDOWS系统有一个正常的wuauclt.exe文件,用于系统更新,其大小应为106KB.即使正常文件被删除,也不影响系统的正常启动。可以先删除之,待恶意程序彻底清除后,再从其它正常系统中拷回一个来。)
waclt.*
wacclt.*
cpush*.*
d3d8thks.*
autorun.inf (主要是出现在各个分区根目录下的)
temp.temp
*.tep
npf.sys
6131t.exe
cnxcis.*
pbhealth.*
以上这些,不一定都会出现在你的电脑中,找到的,就删除,找不到,更好。删除时,提示文件被使用,不能正常删除的,用鼠标右键单击该文件,在弹出的菜单中选择“unlocker”,在弹出的对话框中选择“删除”。删除成功后,记得清空回收站。
4、将前面提到的,事先准备好的第3个(含)以后的工具软件拷入电脑的一个临时目录中。在PE环境下,支持U盘。
5、重新启动并正常引导电脑。
二、清除恶意程序残余并修复电脑被修改的设置。
1、解压SRENG系统修复软件至一临时目录中。将其主程序的后缀名由exe改成com. (此时电脑无法正常运行EXE文件,故改为COM文件)
2、运行SRENG主程序。选择“智能扫描”,并勾选“检查进程模块的数字签名”。扫描的时间约要几分钟,我们利用这段时间,继续点击“系统修复”,将“文件关联”和“Windows Shell /IE”标签页下的项目进行修复。
3、扫描完成后,将扫描日志保存至“我的文档”下。以方便后面的使用。并退出SRENG系统修复工具。
4、解压并运行SRENGLOG分析助手1.3。点击“文件导入”,选中我们在上一步中保存在“我的文档”下的扫描日志。
5、点击“读取分析”。
6、在“进程模块列表”标签页下,选中以红色字体显示的进程名。在下方的窗格中,会显示该进程调用的所有模块。注意检查其中是否有恶意程序的文件。请注意,红色只是表示该进程中使用了非WINDOWS系统的模块,但不是说非WINDOWS系统的模块就是恶意程序。从我这里的情况来看,这个恶意程序并未使用进程模块注入的方式。
7、在“自启动项目”中,请仔细检查是否有加载一.3步骤中列出的那些文件。发现的,就右键点击该行,并选择“删除文件并取消自动启动”。尤其是在“公司”列中为“NA”的,要多加注意和甄别。还有就是该恶意程序使用了IEFO映像劫持技术,所以,对于出现的有IEFO字样的行,要全部选中并选择“删除文件并取消自动启动”。
8、接下来的“系统服务”、“驱动程序”和“浏览器BHO”标签页的处理,也与上步类似,仔细检查是否有非正常程序的加载。由于每个人电脑中安装的软件千差万别,这里无法列出正常程序的清单,需要大家自行甄别。
9、进入“分析结论报告”标签页。点击“获取分析报告”。
10、进入“通用病毒杀灭机修复指令文件”标签页。在“杂项清理”中,选中“清除AUTORUN木马”、“映像劫持修复”、“修复IE首页”和“关闭系统还原”项。然后点击右下角处的“导出执行指令”按钮。将其保存在“我的文档”中,以便后面的使用。
11、解压并运行“通用病毒杀灭机1.2”。点击“文件导入”,导入上一步中保存在“我的文档”下的指令文件。
12、点击“执行指令”按钮后,按系统提示,会自动重新启动电脑。
13、在自动重新启动过程中,系统会自动根据前述的指令进行相应的修复和删除工作。完成后,会再次自动重新启动电脑。所以,在首次重新启动过程中,电脑重启属正常现象。
14、正常登录系统后。分别安装(或解压)和运行第6、7、8三个软件。其中,
运行360顽固木马专杀工具的目的一是清除系统中的顽固木马,二是确保360安全卫士可以正常安装和运行。
运行360安全卫士的目的一是清理恶评插件(对于好评插件,我的建议也是尽可能的少。能不留的就不留。)二是运行全盘木马扫描并查杀。
运行恶意软件清理助手的目的一是清理恶意软件(个人认为其和360安全卫士配合使用,可以比较彻底的清除大多数恶意软件。如果单用一种,总会有一些恶意软件不能完全清除。)二是清理临时文件,删除藏身于临身文件中的恶意软件。
15、重新启动电脑。
三、进行全盘查杀,以确保无漏网之鱼。
1、使用更新至最新病毒库的杀毒软件,对全盘时进行查杀。以确保无漏网之鱼。个人建议使用卡巴斯基,一是杀毒效果好,查杀率高。二是网上可以找到免费版本(非破解)
经过如上处理,单位的几台电脑症状已经消失。目前尚未发现有其它异常现象。希望以上的归纳,可以对其它有类似经历的网友提供帮助和借鉴。也希望有其它网友可以提供更好更方便的处理方法,大家互相学习,共同进步。