如何手动解决Win32.Downloader.n病毒的问题？

文件名称：AutoRun.exe、WIN.exe

文件大小：102400 byte

AV命名：

江民：TrojanDownloader.Agent.uec
卡巴斯基：Virus.Win32.Downloader.ab
瑞星：Win32.Downloader.n
NOD32：Win32/Mypis.J virus

加壳方式：UPX 0.89.6 - 1.02 / 1.05 - 1.24

编写语言：Borland Delphi 6.0 - 7.0

文件MD5：4f76815722d6440371ac8148d59add33

行为分析：

1、不释放任何副本和启动项，因为被感染的文件等同于病毒

2、查找可用磁盘，生成Autorun.exe和Autorun.inf。（未实现）

3、获取物理内存，可能作为隐藏进程用，不过没有实现。

4、保证一个互斥体，标志为“wokaon”避免多个病毒体在运行。

5、查找硬盘EXE和SCR文件并感染，首先跳过以下文件夹：

WINDOWS
WINNT
RECYCLER
$RECYCLE.BIN
System Volume Information
Config.Msi
InstallShield Installation Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings

感染后的文件增加一区段，里面包含下载木马的命令，并修改入口点优先执行病毒。

6、查找"IEFrame" 类名窗口并关闭，可能导致一些浏览器被关闭。

7、连接网络，下载3个木马，并保存至本地为：

c:Program FilesCommon Filesm1.exe
c:Program FilesCommon Filesm2.exe
c:Program FilesCommon Filesm3.exe

测试时并没有实现。

解决方法：

因为没有启动项，所以不需要文件和注册表

1、下载PowerRmv(可到down.45it.com下载)，选上抑制杀灭对象生成，填入：

C:autorun.inf
C:autorun.exe
D:autorun.inf
D:autorun.exe
E:autorun.inf
E:autorun.exe
F:autorun.inf
F:autorun.exe

又移动盘的自己再加上。

2、清理磁盘上的所有临时文件。

3、下载杀软，全盘扫描，修改被感染过的文件。

如果杀软不能识别的话，上报…