最近流行的U盘病毒,美女游戏、重要资料等U盘病毒专杀工具

最近流行的U盘病毒...以美女游戏和重要资料为诱饵来让用户点击...使其电脑中毒....
中毒现象：出现美女游戏MS-DOS和重要资料可执行文件，杀毒软件自动防护被中止，无法打开，在安全模式下杀毒软件也无法启动。电脑日期被改为2004年1月22日。

请下载下面的专杀工具杀毒，该工具能杀除病毒270多种。

专杀工具下载地址：(本站有下载)
U盘病毒专杀工具 绿色简体中文免费版 

友情提醒：专杀工具杀完可能还有些地方运行不正常...请参考下面的手动清除方法...再用360清清

手动清除方法：

清除方法归结为一句话：“夹缝中求生”
IceSword.exe、SREng.exe均被禁，但只需将文件改名，照样可以运行
autoruns.exe则不在被禁的行列
其他的被禁程序，一步步解禁

具体过程：

结束进程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等

用autoruns删除以下项目（建议用autoruns，一是没被禁，二是一目了然，注意先选Options-Hide Microsoft Entries）：（实际上我自己用的是冰刃，改个扩展名就可以用，可以中止进程，阻止进程创建，也可以强行删掉文件，改动注册表，很不错）
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止

删除或修改启动项：
以用SREng为例
在“启动项目”-“注册表”中删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]

双击以下项目，把“值”中Explorer.exe后面的内容删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

删除文件：
由于非系统盘即便右键打开也会有危险，应该采用其他方法，推荐用IceSword或WINRAR来做
删除：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf

系统修复与清理：

在注册表展开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建议将原CheckedValue键删除，再新建正常的键值：
"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun键的值，是否要改，要改为什么，视乎各人所需，一般默认为91（十六进制的）
此键的含义，请搜索网上资料，在此不再赘述

HOSTS文件的清理
可以用记事本打开%systemroot%\system32\drivers\etc\hosts，清除被病毒加入的内容
也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”，然后点“保存”

最后修复一下服务被破坏的杀毒软件。

小结：
从拿到样本到方法写完，历时整整五小时。之所以要说得如此详细，是因为这个病毒相当的典型，尤其是它对付安全软件的几种方法。右键菜单没变化，也是比较“隐蔽”而且给清除带来麻烦的一个特征。对付这个病毒，也要在“知己知彼”的基础上，灵活运用方法和工具。
QQ软件园反病毒专家建议电脑用户采取以下措施预防病毒：下载金山毒霸（点击下载）进行全盘杀毒，同时注意更新自己电脑里的杀毒软件的病毒库，建立良好的安全习惯，不打开可疑邮件和可疑网站，很多病毒利用漏洞传播，一定要及时给系统打补丁！

    点击下载->U盘超级工具大全(万能格式化-修复-量产-数据恢复等62种工具，一次搞定U盘问题