20CN网络安全小组论坛 - 病毒专区 - 我想问一下好何清除winfile这个毒。

论坛: 病毒专区标题: 我想问一下好何清除winfile这个毒。

复制本贴地址

作者: yelong [yelong]

论坛用户

最近我的电脑中了winfile 毒。

地主发表时间: 04-04-11 14:47

回复: lb605428 [lb605428]

论坛用户

一、拷贝自身，完成感染
病毒运行后会首先将自身复制到多份到操作系统的目录和操作系统下的SYSTEM目录，名字一般是随机的，但有两个病毒主程序的名字是固定的：一个是病毒的主程序体：RUNDLL16.EXE，存在于系统目录下，它主要用于病毒的正常运行；一个是病毒的配置文件：WINFILE.DLL，存在于系统的SYSTEM目录下，它主要用于病毒保存一些病毒生成的文件信息。

二、修改注册表，进行自启动
病毒会将病毒主程序体的路径加入注册表的自启动项，每次开机都引导病毒。病毒会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加键值:LoadCurrentProfile，内容为：Rundll16.exe, powprof.dll,LoadCurrentUserProfile.

三、首次运行，欺骗用户
如果病毒是被用户双击而且是首次运行，病毒会弹出一个WINZIP的错误框，告诉用户：“你的WINZIP自解压版本未被许可，或者许可信息丢失或不正确，请联系程序作者或登陆www.winzip.com网站获得更多信息”,用户一般的反映是此文件已经损坏而将之删除，其实病毒已经运行。

四、修改EXE文件关联，运行任何程序等于运行病毒
病毒会将注册表中的与.EXE文件类型的关联指向病毒体，这样，用户运行任何程序都等于运行了病毒，而且为了不引起用户的怀疑，病毒在运行后会将用户要执行的程序继续运行。

五、启动多线程，监控注册表与自身
病毒运行时会启动多个线程。其中一个线程负责监视注册表的操作，另一个线程负责监控自身的文件。如果病毒发现注册表中被病毒写入的两个键值被修改，或者病毒文件被用户尝试删除，病毒则会将自己休眠5秒，然后进行报复，将用户硬盘中的所有文件都进行删除，使用户资料丢失。

六、删除所病毒软件
病毒会对十几家知名杀毒软件进行攻击，如果病毒运行时发现有它认识的杀毒软件的主程序，则将之杀掉。

七、局域网与邮件传播
病毒在有网络连接的前提下，会在局域网中快速传播自身，并通过邮件系统，建立主题与内容随机的病毒邮件，在互联网中大量传播自身。

八、修改多处系统配置文件
病毒还会修改多处系统文件如：MSDOS.SYS, WIN.INI等，而且在病毒体发现病毒有生成脚本文件的代码，但在动态分析过程中未能再现此动作。

B1层发表时间: 04-04-12 11:52

回复: hebin [hebin]

论坛用户

　　ＷＩＮＦＩＬＥ是一个文件夹（病毒），每个盘中都有一个，

开头不知道怎么个处理，后来我升级了瑞星后，开始杀｀～～～～～

就把它给杀掉了！

B2层发表时间: 04-04-18 15:21

回复: Zealot [maxliz]

论坛用户

2楼的讲了很多，我觉得很多是不需要我寝室人也中过这个病毒，我手杀，而且成功了~~ 首先打开任务管理器，结束病毒进程。情况有几种，有时是mstray,有时是wuur~ 然后打开注册表编辑器，local machine software microsoft windows currentversion run 删除掉mstray 然后打开windows文件夹找到病毒源 mstray.exe 删除~~ 然后就能把那些winfile删除掉了，还有那些desktop.ini和comment.htt （不是每个desktop和comment都是病毒文件，自己仔细看下，还有不要重复感染，就是你杀毒过程中又感染了）

B3层发表时间: 04-04-20 08:50

回复: triones [pig4210]

论坛用户

　　我以为B1层说的好像不大对得上号，我在杀毒过程中就没有看见过这两个文件，上层说得才对嘛。
　　
　　靠它winfile.exe靠它mstray.exe。在我们校园网上四处逛。杀毒软件都没升级（学生嘛，都没钱，只能买盗版），根本杀不了。只能手工杀。不过呵，呵，我这方面的知识倒是长了不少耶。嘿嘿

B4层发表时间: 04-04-23 08:40