Trojan.DL.Win32.Autorun类病毒的杀毒操作注意事项

用SRENG扫日志，配合使用XDELBOX，删除日志中见到的病毒文件并不困难。困难的是：这样也难彻底清除这堆病毒。

 

原因是：
1、SRENG日志并不能显示所有病毒文件。根据SRENG日志以及自己按规律寻找，用XDELBOX删除的病毒文件（操作时丢了一个MSDEG32.DLL，重启后手工删除了。）

2、IE浏览器临时文件夹中有大量病毒.exe程序残留（图2）。不少用户没有清空IE临时文件夹的习惯。因此，尽管用XDELBOX删除了所有病毒文件，下次再用IE上网浏览时，病毒又卷土重来。造成病毒永远杀不净的假象。

关于SRENG日志不显示的病毒文件，可以根据这堆病毒的文件命名规律去找。找到后，添加到XDELBOX的“待删除文件列表”，与SRENG日志中可见到的病毒文件一并删除即可。

目前为止，这堆病毒文件命名的规律依然是：病毒文件成簇；每簇中的病毒文件名“前4个字母相同”；各簇病毒文件均位于%system%文件夹中。即：如果SRENG日志中可见“avwgcmn.dll”，那么avwgcmn.dll还有两个同伙，其文件名也以avwg开头，一个是.exe，另一个是.dll，路径均与avwgcmn.dll相同（位于%system%）。
另外，当前用户临时文件夹Temp中也可能存在病毒文件，用XDELBOX删除病毒文件时请一并删除。

这堆病毒添加的注册表项就不再详述。想必这些日子大家在求助者的SRENG日志中已经见的多了去了。如果有autoruns的基础日志，通过compare可以轻易找到这些货色，一一删除就是了。

另：中招者除了删除SRENG日志中见到的病毒加载项外，还须删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\分支下的AU。
此AU子键为病毒添加。其中的"NoAutoUpdate"=dword:00000001禁止WINDOWS自动更新。

另请注意：本帖只是以这类病毒的一个样本作为例子，说明手工查杀这类病毒的注意事项。大家可以参考，但不要生搬硬套帖子中提到的具体病毒文件名称。非系统分区根目录下的autorun.inf及其指向的.exe病毒文件，同样不要忽视。