原帖由 grape0915 于 2009-8-6 09:17 发表
还是先杀毒吧


中毒期间尽量不要运行其他程序

清除方法：
1、启动安全模式，运行MSCONFIG，在启动项中去除svohost.exe或sxs.exe启动项。 这时先不要重新启动计算机。运行regedit, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  下找到svohost.exe 或sxs.exe项目并删除。如果两个都有就全部删除。注意了，svohost与svchost 只相差一个字母，大家都不要搞错了。其余清除步骤都要在安全模式进行。  
2、通过修改注册表，把已禁用显示隐藏功能修改过来。运行regedit， HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL下，将CheckedValue键值修改为1 。   病毒本身会把有效DWORD值CheckedValue删除，新建一个无效的字符串值CheckedValue, 类型为REG_SZ，值改为0。即使我们修改它值为1，仍然无效。我们就把它无效的字符串 值CheckedValue删除。并新建一个DWORD值CheckedValue，值为1，就可以恢复隐藏功能 了。   
3、现在我们就要去删除病毒文件了。先显示隐藏文件和系统文件。这时我们可以利用 WINDOWS搜索功能去搜索svohost.exe、sxs.exe和autorun.inf这三个文件。在搜索的时 候一定别忘了勾选（高级选项），那样系统会自动搜索带有隐藏属性的文件。搜到之后， 把它们全部删除。删除后，重启计算机。   
4、重启计算机，我们仍然选择进入安全模式。现在就在安全模式下用最新杀毒软件再杀 毒一下吧。呵呵，本人比较喜欢用江民DOS杀毒伴侣在DOS下面杀毒。因为这样杀毒比较 容易把病毒杀掉。其它软件也有在DOS杀毒的功能。在安全模式下也可以进行全面杀毒。  
5、我们现在可以进入正常模式了。哈哈，病毒终于还是被清掉了。现在快点打开其它 盘看看吧。呜呜，提示找不到文件，盘还是打不开。不要担心，这是病毒被删除后，所 遗留下的后遗症。因为病毒修改注册表为每个盘符添加了“自动播放”，我们可以通过 右键选择打开来打开磁盘。可是这样很麻烦，没有双击打开方便。大家别急，还有一招 就是完全禁用自动播放功能。   运行gpedit.msc打开组策略，依次点击“本地计算机策略→计算机配制→管理模板→ 系统”，双击右方策略窗口中的“启用自动播放”，在打开的窗口中选择“启用”复 选框，并且在“启用自动播放”下拉菜单中选择“所有驱动器”，确定后重新启动计算 机即可。   哈哈，你现在在双击一下，是不是可以打开磁盘了。你在右击一下，是不是看不到自动 播放了。   以上方法只在XP专业版中用过。至于在其它系统中是否管用，我没有测试过。以上方法 适合菜鸟使用，希望各位高手不吝赐教，多多指点小弟一下。我写这些难登大雅之堂。 呵呵~!   

如果为"Auto“了,目前有两种解决方法:  
1,格式化该移动设施,该法删除比较彻底,适合文件不多、空间不大的移动设施,格式化后 ,问题完全解决   
2,点右键选择”打开“(千万不能双击打开,否则木马又会进行复制),找到该盘下的 ravmonE.exe文件,autorun文件,超级文本以fot开头的文件,全部删除(autorun、 超级文本以fot为隐藏,可以在我的电脑窗口最上端-工具-文件夹选项-查看-显示 所有隐藏文件让它显示),在确定没有上述文件后,退出U盘,再插入检查是否有"Auto“, 如果没有,则删除成功.   

总结一下:   1、避免中此种木马只需在开启移动设施的时候右键-打开进入即可,这样拷贝或打开盘 内文件均不会被感染,木马的传播方式是“双击该盘盘符”。   2、通过观察是否有"Auto“判断该盘是否中过此类木马,再通过"Auto“解决方案进行 处理

　　1.exe手动清除方法
　　主程序1.exe运行后释放%System%\1.dLl，创建ShellExecuteHooks：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
　　"{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}"=""
　　[HKEY_CLASSES_ROOT\CLSID\{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}\InPrOcservEr32]
　　@="%System%\1.dLl"
　　使用delxxzt.BaT删除自身：
　　:Try
　　dEl "1.exe"
　　if exist "1.exe" Goto try
　　Del %0
　　清除步骤
　　1. 删除病毒创建的ShellExecuteHooks：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
　　"{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}"=""
　　[HKEY_CLASSES_ROOT\CLSID\{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}\InPrOcservEr32]
　　@="%System%\1.dLl"
　　2. 重新启动计算机
　　3. 删除病毒文件：
　　%System%\1.dll