wuaucll.exe（或driver.exe）的查杀

周末了。
蟊贼们又纷纷出动作祟了。
今天，俺又收到一个瑞星19.02.42查不到的木马（别人求救发过来的）。

一、这蟊贼的特点是：
1、植入系统并成功运行后，更改.exe文件关联。中招后，用户运行任何.exe程序，都将激活木马wuaucll.exe。用SREng在WINDOWS模式下不能修复.exe文件关联！
2、wuaucll.exe和driver.exe双进程，互相守护。
3、植入系统后wuaucll.exe反复不停的写木马文件及其加载项（很俗）。
4、如果你在WINDOWS模式急急忙忙地将木马文件删除的干干净净，而没成功地修复exe文件关联，重启后，你就傻了！虽然可以更改SREng的后缀来运行SREng，但还是无法用其修复.exe文件关联。您的所有.exe程序无法运行。

二、手工处理流程：
1、启动到安全模式下。
2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

3、运行IceSword 1.2。用IceSword 1.2禁止进线程创建。
4、用IceSword 1.2结束下列进程：
C:\WINDOWS\wuaucll.exe
C:\WINDOWS\SYSTEM32\driver.exe
5、用IceSword找到并删除这些木马文件。
如果你事先打开了资源管理器，也可不用IceSword删除木马文件。取消IceSword的禁止进/线程创建、设置文件夹选项（显示隐藏文件）后，借助资源管理器找到并删除那些木马文件。
6、双击Fix.reg，将其导入注册表。

【注意】：如果你的电脑还有E、F....等分区，这些分区根目录下也有autorun.ini和update.exe，也要删除。