wdfmgr.exe病毒

　　最近电脑突然卡，发现进程了多了很多个wdfmgr.exe

　　感觉不对，马上找到收藏夹里的在线杀毒 http://www.antidu.cn/board/online/

　　查杀，果然，瑞星报毒！！！

　　传播方式：通过MSN传播

　　技术分析

　　MSN蠕虫变种，根据系统语言向MSN联系人发送诱惑文字消息和带毒压缩包，当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。

　　病毒运行后在系统目录生成包含自身的带毒ZIP压缩包：

　　%Windows%\Z058_jpg.zip

　　其中包含病毒文件

　　创建副本：

　　%Windows%\wdfmgr.exe

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"wdfmgr.exe"="%Windows%\wdfmgr.exe"

　　修改注册表关闭系统文件保护：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　"SFCDisable"=dword:ffffff9d

　　"SFCScan"=dword:00000000

　　更改自动关闭进程等待时间：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

　　"WaitToKillServiceTimeout"="7000"

　　破坏FTP程序文件：

　　%System%\tftp.exe

　　%System%\dllcache\tftp.exe

　　%System%\ftp.exe

　　%System%\dllcache\ftp.exe

　　原正常程序复制到：

　　%System%\microsoft\backup.tftp

　　%System%\microsoft\backup.ftp

　　根据染毒系统语言向MSN联系人发送相应诱惑文字消息，同时发送带毒压缩包Z058_jpg.zip诱使联系人接收打开：

　　尝试连接远程IRC

　　清除步骤

　　（先去下载杀毒工具：http://www.antidu.cn/board/helpst/）

　　1. 删除病毒创建的启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"wdfmgr.exe"="%Windows%\wdfmgr.exe"

　　2. 重新启动计算机

　　3. 删除病毒文件：

　　%Windows%\Z058_jpg.zip

　　%Windows%\wdfmgr.exe

　　4. 恢复被破坏的FTP程序文件，删除：

　　%System%\tftp.exe

　　%System%\dllcache\tftp.exe

　　%System%\ftp.exe

　　%System%\dllcache\ftp.exe

　　然后将%System%\microsoft\backup.tftp复制到：

　　%System%\tftp.exe

　　%System%\dllcache\tftp.exe

　　将%System%\microsoft\backup.ftp复制到：

　　%System%\ftp.exe

　　%System%\dllcache\ftp.exe

　　5. 修改注册表恢复系统文件保护：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　"SFCDisable"=dword:00000000

　　"SFCScan"键值可以删除。

　　6. 恢复系统自动关闭进程等待时间

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

　　"WaitToKillServiceTimeout"="20000"

　　（如果还是杀不了，去找个专杀工具：http://www.antidu.cn/board/zsst/）