一：分析病毒

　　病毒文件运行后生成：

　　C:\WINDOWS\system\winlogon.exe
　　从最后一个盘符开始遍历除系统分区外的所有分区
　　并把所有分区的exe的名字写入C:\WINDOWS\win.log。感染win.log中所记录的exe 被感染文件被加入20577字节的病毒代码 且感染后文件图标不变（具体感染方式没找到，还望各位高手给予指导）

　　运行被感染文件后会释放0_.ii的一个病毒体 运行病毒体后 删除0_.ii自身

　　在每个分区下面生成autorun.inf和setup.exe
　　病毒体内有字样：我恨卡巴

　　病毒连接网络222.220.16.186:80
　　下载以下文件：

以下是引用片段： http://mm.xxxx1.com/server.exe http://xxxx1.com/1.exe http://xxxx1.com/2.exe http://xxxx1.com/3.exe http://xxxx1.com/4.exe http://xxxx1.com/5.exe http://xxxx1.com/6.exe http://xxxx1.com/7.exe http://xxxx1.com/8.exe http://xxxx1.com/9.exe http://xxxx1.com/10.exe http://xxxx1.com/11.exe http://xxxx1.com/12.exe http://xxxx1.com/13.exe http://xxxx1.com/14.exe http://xxxx1.com/15.exe http://xxxx1.com/16.exe

　　到C:\WINDOWS\system\下分别命名为1.exe~16.exe

　　木马植入成功后，sreng日志(进入下载)显示如下
 启动项目

以下是引用片段：      <WinForm><C:\WINDOWS\WinForm.exe>    []       <upxdnd><C:\WINDOWS\upxdnd.exe>    []       <mppds><C:\WINDOWS\mppds.exe>    []       <msccrt><C:\WINDOWS\msccrt.exe>    []       <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []       <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []       <crqt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe>    []       <499g4w9rv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe>    [] 　　服务 　　[Remote Debug Service / RemoteDbg][Stopped/Auto Start] 　　<C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>

　　解决方法：(电脑软硬件应用网：对于普通用户，上述分析可跳过，直接看解决教程)

　　1.用serng(进入下载)清理启动项目和如下服务

以下是引用片段：      <WinForm><C:\WINDOWS\WinForm.exe>    []       <upxdnd><C:\WINDOWS\upxdnd.exe>    []       <mppds><C:\WINDOWS\mppds.exe>    []       <msccrt><C:\WINDOWS\msccrt.exe>    []       <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []       <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []       <crqt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe>    []       <499g4w9rv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe>    [] [Remote Debug Service / RemoteDbg][Stopped/Auto Start]     <C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>

　　2.重启计算机后

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，右键点击－右键菜单中的第二个打开－打开每一个分区－删除分区下的autorun.inf和setup.exe文件。

　　删除以下文件：(如不能正常状态下删除，可到http://www.motoyi.com/Down/Noted/200706/Down_68.shtml下载费尔木马强制删除器工具进行强制删除。)

以下是引用片段： C:\WINDOWS\system\SYSTEM32.vxd C:\WINDOWS\system\winlogon.exe C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\msccrt.dll C:\WINDOWS\system32\RemoteDbg.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\WinForm.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\mppds.exe C:\WINDOWS\msccrt.exe C:\WINDOWS\upxdnd.exe C:\WINDOWS\WinForm.exe