Virus.Win32.AutoRun.en病毒的手动清除

一个盗Q的病毒，以前在反毒区的网友日志里比较常见。

　　有幸抓到了只，解剖！   =。=

　　Aditional information
　　File size: 32873 bytes
　　CRC32     : 5FD03479
　　MD5: 4fda59631385d13c98e470d69ce69196
　　SHA1: 946d07eba7935b02a5902657a401eccdaee88695
　　SHA160    : 946D07EBA7935B02A5902657A401ECCDAEE88695
　　packers: UPX 0.89.6 - 1.02 / 1.05 - 1.24
　　Languages:Borland Delphi 6.0 - 7.0

　　运行，释放：

　　C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp   32873 字节

　　C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys   46697 字节  

　　C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao 46697 字节

　　写注册表：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys

　　实现开机自启

　　SysWin64.Sys枚举进程，尝试插入QQ.exe\Explorer.Exe\VerCLsID.exe；

　　随后使用Hook技术（WH_CALLWNDPROCRET勾子）监视发送窗口过程消息（判断、监视进程），和WH_GETMESSAGE勾子，并拦截GetMessage、PeekMessage等函数返回消息。模拟鼠标和键盘行为操作获得QQ密码（绕过QQ键盘锁），并尝试修改HKEY_CURRENT_USER\Software\Tencent\Gm\和其他等键，不过测试时都未实现 :D。最后在E:下（其他盘未发现）生成Autorun.inf和AutoRun.exe

　　解决方法：

　　下载：PowerRmv.com；sreng2.zip

　　下载东西直接放桌面，断开网络``

　　1、打开PowerRmv，选上“抑制对象再次生成”，填入下面路径后点杀灭：

　　C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp

　　C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys

　　C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao

　　E:\autorun.inf

　　E:\autorun.exe

　　2、打开SREng,删除：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys>   [N/A]

　　3、重启电脑，修改QQ密码。

　　4.建议下载360安全卫士之类进行其它恶意软件的清理。

访问技术无忧网，软硬件通吃保你技术无忧！中文网址http://www.技术无忧.com 或 http://www.技术无忧.net