假冒系统文件Svchost.exe的U盘病毒

原文来至我的百度博客，最近该病毒貌似比较猖狂，重新发次。

 

原贴：

 

[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/79e387ec6f48da2662d09ffe.html[/url]

 

症状：

 

每个分区下都有 config.exe和 autorun.inf

 

进程里有个SVCHOST（路径在C:\Program Files\Internet Explorer\Connection Wizard\）

 

 

分析都在上面原贴里，就不写详细了，直接写 清除方法：

 

打开注册表（开始-运行-regedit)

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden值改为“0”

 

（注：如果还是无法显示隐藏文件的话，去我网盘下载注册表导入）

 

[url]http://free.ys168.com/?gudugengkekao[/url]

 

下载工具SREng和PowerRMV

 

PowerRmv.com 101KB

显示隐藏文件.reg 9KB （备用，2000系统的另外下）

SREng.rar 597KB

 

直接放到桌面，关闭不必要进程：

 

打开PowerRMV，选上“抑制对方再次生成”，填入(一次一个，找不则忽略)：

 

C:\Program Files\Internet Explorer\Connection Wizard\SVCHOST.EXE

 

C:\config.exe   C:\autorun.inf

D:\config.exe  D:\autorun.inf

E:\config.exe   E:\autorun.inf

F:\config.exe   F:\autorun.inf

 

最后打开SREng,，它会自动修复被劫持的注册表项：

 

 

 

 

 

 

 

另：如果上述方法无法清除，那么请发样本到 [email protected]

 

记得用Winrar打包，加密virus

 

你一个人付出，能让更多人得益……