文章标题:随机数字命名.pif文件类病毒分析与清除

本站收录时间：2008-11-20

昨天去給一个客户清理病毒，看上去很顽固，试了很多次才发现症结所在，拿出来分享給大家，有需要的时候作为参考。
   中毒现象：
   1.“程序”－“启动”中自动加载随机数字命名的.pif文件，如3.pif、5.pif等，比较有意思的是都是奇数文件名，没有偶数的。
   2.所有盘符下出现autorun.inf和hbx字样隐藏dos快捷方式。
   3.Downloaded Program Files可能会出现svchost.exe。
   4.当你试图删除“程序”－“启动”中的.pif文件时会出现拒绝访问的提示。
   5.部分机器会每隔一段时间弹出网页。
   病毒清除
   处理了多次，autorun.inf和hbx重启后仍然出现，最后发现有个隐藏的wuauclt.exe程序一闪即逝，原来是病毒生成，替代了系统的升级程序，清理此病毒的关键就在此。
   禁止该进程启动，删除伪装的wuauclt.exe文件，将wuauclt1.exe名称恢复为wuauclt.exe，再次清理autorun.inf和hbx，完成。
   这年头，眼神不好用也不成啊。