这个病毒 进期 利用U盘传播盛行 望大家 对U盘 进行免疫 
如果你把U盘插上这台电脑发现 U盘成 autorun.inf 和GHOST.PIF 这两个隐藏文件 那说明你中了此毒 

是 Trojan-Downloader.Win32.Agent.bmo上个版本 

运行病毒 
修改EXPLORE.EXE 允许 DLL注入 
释放 

C:\Program Files\Internet Explorer\romdrivers.dll加入启动项 
C:\Documents and Settings\Administrator\Local Settings\Temp\woso0.dll 
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso0.dll 
C:\Documents and Settings\Administrator\Local Settings\Temp\mhso0.dll 
注入EXPLORE.EXE进程 

生成 
C:\Program Files\Internet Explorer\romdrivers.bkk 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe>   
    <ztsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe> 
    <mhsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe 
以上EXE加入启动项 


添加 驱动服务 
HKLM\SYSTEM\CurrentControlSet\Services\NPF 
c:\system32\drivers\npf.sys 

autorun.inf 和GHOST.PIF两个文件 


连接 67:159:53.53端口80下载病毒 
关闭浏览器 

如果有U盘插如 生成 autorun.inf 和GHOST.PIF 这两个隐藏文件  表现为双击病毒运行 



解决方法 
断开网络   

清空IE临时文件夹 
需要工具：冰刃， SREG  ，360 


运行冰刃-找到进程explorer.exe-右键-模块信息找到 以下卸载 
  [C:\Program Files\Internet Explorer\romdrivers.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso0.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso0.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll] 
结束进程SVCHOST.EXE路径是C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe 对应的路径别结束错了
 

运行SRENG点“启动项目，服务，点“驱动服务”勾选“隐藏微软服务”选中病毒服务Netgroup Packet Filter / NPF选择“删除服务”点“设置”选择“否”最后重启 


使用 启动选项 -注册表 
删除以下 
<wosa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe>  [] 
    <ztsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe>  [] 
    <mhsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe> 
<{09B68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> 


双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示确定更改时，单击“是”，清除“隐藏已知文件类型的扩展名 
删除 
[C:\Program Files\Internet Explorer\romdrivers.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso0.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso0.dll]   
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll 
C:\Program Files\Internet Explorer\romdrivers.bkk 
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe>   
    <ztsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe> 
    <mhsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe 

C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe
使用360清除流氓软件 重起升级杀毒软件全盘杀毒 


U盘解决 右键打开 U盘删除 autorun.inf 和GHOST.PIF 

使用超级巡警U盘免疫器对U盘进行免疫 

 

eÌÑn‚*!øÚDbbs.ikaka.comÎëL=•gÛ0¬

原文来自偶的QQ群，请勿转贴eÌÑn‚*!øÚDbbs.ikaka.comÎëL=•gÛ0¬

俺也遭受了这样的待遇!到底是啥呢原因?早知道各位大叔大婶们试过卸载重装的过程是基本不可用的,咱就不浪费半天时间了.
如此问题已解决,请告诉小女.多谢各位好心人!!!!!!!!!!
QQ:492151588eÌÑn‚*!øÚDbbs.ikaka.comÎëL=•gÛ0¬

谁说重装没用了，很有用的，只不过操作错误而已。eÌÑn‚*!øÚDbbs.ikaka.comÎëL=•gÛ0¬

为什么瑞星不认识这个病毒？？？!!!!!!eÌÑn‚*!øÚDbbs.ikaka.comÎëL=•gÛ0¬