wukill(gy)病毒解决办法

早晨一上班，打开电脑，习惯性的点击foxmail的快捷方式收取邮件，没有出现熟悉的界面，反倒直接打开了foxmail程序所在的目录。仔细一看，发现中毒了，就是那个比较恶心的wukill，把工具栏里面二十来个快捷方式都测试了一遍，大概一半多不好用了，没办法，上网查了一下资料，然后经过大半天折腾，终于把病毒请走了。现在把清理过程记录描述如下。

wukill病毒的特征：

1:监控内存及操作。开机即驻留内存中并借助svchost.exe进程监控电脑使用者的操作。并不时尝试激活outlook进行邮件的发送。

2:自我复制。将病毒文件自身复制到使用者使用频繁的目录中，并进行伪装。

wukill病毒的中毒表象：

1：在启动菜单里面自动加入"startup.bat"命令，删除后过很短时间马上又能自动创建

2：在windows的每个分区的根目录下，自动创建desktop.ini和folder.htt以及Comand.bat三个隐藏文件。

3：自动修改文件、文件夹查看设定，不显式隐藏的文件和文件夹，手动修改成显式隐藏的文件和文件夹后，又会自动变回来。

4：自动在用户常进入的文件夹下建立和文件夹名称一致的exe文件作为病毒载体，比如foxmail安装在e:/tools/foxmail目录下，那么病毒会自动在这个目录下建立foxmail.exe的文件，大小大概在28k左右，将鼠标移上去，会出现”公司：gy“的字样，如果目录中存在有foxmail.exe,病毒会删除它并且再建立新的foxmail.exe程序，这一点最恶心！！这样来看，如果电脑上建立很多快捷方式，病毒就会到哪些快捷方式所对应的程序所在目录下建立这些exe文件，这就是很多快捷方式无效的原因。病毒建立的*.exe文件都以文件夹的图标显式，具有很大的迷惑性，稍不留神双击它，它又会自我复制。。。

5：随时调用outlook试图发送邮件。发动的内容可想而知。

杀毒的过程如下：

1：开机进入安全模式

2：查看任务管理器，杀掉一个"SVCHOST ...EXE"的进程，注意全是大写。

3：删除启动中的"startup.bat"命令。略微等待几分钟，再次查看启动中，观察"startup.bat"是否又被建立了，如果没有，说明病毒建立的监控进程被正确杀掉。

4：搜索电脑所有分区中的*.exe文件，这个过程会慢一点。然后删掉列表中所有的以文件夹图标显式的，大概28k大小的，鼠标浮上去能出现gy字样的exe程序。

5：进入查看文件夹选项，设定为显式所有的文件，然后进入每个分区，删掉分区根目录下的Comand.*,folder.htt和desktop.ini文件。

6：用木马清楚软件，比如ewido等搜索所有分区，清查一遍

7：用杀毒软件，比如kapasky等，再次查一遍。

8：重启电脑，进入正常模式，就可以使用了。

据说高版本的瑞星可以查杀，但不知效果如何，本人装的是kapasky,竟然没查出来，可见这是个土病毒，呵呵。