扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2008年1月12日
关键字: wdfmgr.exe wdfmgr.exe进程 wdfmgr.exe病毒 wdfmgr.exe是什么 关闭wdfmgr.exe
最近电脑突然卡,发现进程了多了很多个wdfmgr.exe
感觉不对,马上找到收藏夹里的在线杀毒 http://www.antidu.cn/board/online/
查杀,果然,瑞星报毒!!!
传播方式:通过MSN传播
技术分析
MSN蠕虫变种,根据系统语言向MSN联系人发送诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。
病毒运行后在系统目录生成包含自身的带毒ZIP压缩包:
%Windows%\Z058_jpg.zip
其中包含病毒文件
创建副本:
%Windows%\wdfmgr.exe
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wdfmgr.exe"="%Windows%\wdfmgr.exe"
修改注册表关闭系统文件保护:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:ffffff9d
"SFCScan"=dword:00000000
更改自动关闭进程等待时间:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"
破坏FTP程序文件:
%System%\tftp.exe
%System%\dllcache\tftp.exe
%System%\ftp.exe
%System%\dllcache\ftp.exe
原正常程序复制到:
%System%\microsoft\backup.tftp
%System%\microsoft\backup.ftp
根据染毒系统语言向MSN联系人发送相应诱惑文字消息,同时发送带毒压缩包Z058_jpg.zip诱使联系人接收打开:
尝试连接远程IRC
清除步骤
(先去下载杀毒工具:http://www.antidu.cn/board/helpst/)
1. 删除病毒创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wdfmgr.exe"="%Windows%\wdfmgr.exe"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%\Z058_jpg.zip
%Windows%\wdfmgr.exe
4. 恢复被破坏的FTP程序文件,删除:
%System%\tftp.exe
%System%\dllcache\tftp.exe
%System%\ftp.exe
%System%\dllcache\ftp.exe
然后将%System%\microsoft\backup.tftp复制到:
%System%\tftp.exe
%System%\dllcache\tftp.exe
将%System%\microsoft\backup.ftp复制到:
%System%\ftp.exe
%System%\dllcache\ftp.exe
5. 修改注册表恢复系统文件保护:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000000
"SFCScan"键值可以删除。
6. 恢复系统自动关闭进程等待时间
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="20000"
(如果还是杀不了,去找个专杀工具:http://www.antidu.cn/board/zsst/)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。