大家帮忙看看这个病毒如何清除

奶奶扣

病毒信息

文件名：TXPlatform.exe

文件大小：76,295 字节

MD5：72f15fd22e6d41101c8524831745b6f2

加壳信息：双层壳，第一层北斗壳，第二层未知壳

主要行为：



1.         释放并执行文件%windir%\system32\drivers\TXPlatform.exe，并加入自启动，之后退出原始进程，并删除原始文件（若该文件是受感染的文件运行后就被删除了），若运行的文件本身是%windir%\system32\drivers\TXPlatform.exe则跳过此步骤

2.         %windir%\system32\drivers\TXPlatform.exe执行后释放文件C:\QQ.sys（也是恶意文件，被检测为TSPY_AARD.A）

3.         关闭显示隐藏文件及显示系统文件功能

4.         遍历进程，如进程中有svchosL.exe则终止该进程（这是另一个病毒的进程，难道是病毒竞争行为？）

5.         打开自动播放功能

6.         在各磁盘根目录下生成病毒文件及autorun.inf，病毒文件名成为“　　　.exe”（三个全角空格，你看不见我～～），autorun.inf内容为：

    [AutoRun]

    OPEN=　　　.exe

    shell\open=打开(&O)

    shell\open\Command=　　　.exe

    shell\open\Default=1

    shell\explore=资源管理器(&X)

    shell\explore\Command=　　　.exe

  这样插入U盘后不管是双击打开U盘或者右击选择“打开”或“资源管理器”都会感染病毒。

7.         关闭Windows防火墙

8.         通过关键字搜索并关闭常见的杀毒软件的服务、进程

    kavsvc

    AVPAVPkavsvc

    AVPkavsvc

    kav

    McShield

    McTaskManager

    McAfeeFramework

    McShield

    McTaskManager

    navapsvc

    wscsvc

    KPfwSvc

    SNDSrvc

    ccProxy

    ccEvtMgr

    SNDSrvc

    ccEvtMgr

    ccSetMgr

    SPBBCSvc

    Symantec Core LC

    NPFMntor

    MskService

    RsCCenter

    RsRavMon

    AVP

    AVPkavsvc

    RsCCenter

    RsRavMon

    AVPkavsvc

（包含了赛门铁克、麦咖啡、瑞星等）

9.         删除常见杀毒软件的自启动项

    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav

    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP

    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI

    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service

    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXEnavapsvc

10.     如发现窗口中含有以下字符则终止该进程

    Winsock Expert

    ComnView

    SmartSniff

    Sniff

    CaptureNet

    spynet

    Dsniff

    嗅探

    抓包

（Anti-Anti-ARP）

11.     寻找网络共享，使用guest账号、admin帐号、Administrator账号及Root账号（难道是觊觎Linux的美色？）并尝试使用空密码登录，复制病毒至共享文件

12.     感染所有exe文件，除非文件路径中包含以下关键字

    WinRAR

    WINNT

    system32

    Documents and Settings

    System Volume Information

    Recycled

    Windows NT

    WindowsUpdate

    Windows Media Player

    Internet Explorer

    NetMeeting

    Common Files

    ComPlus Applications

    Common Files

    Messenger

    InstallShield Installation Information

    MSN Gamin Zone

（对各位大大手下留情，否则自己也活不了了，对要利用的小弟也放一马）

13.     感染压缩包中的exe文件（使用Winrar解压并压缩，知道为什么之前不感染winrar了吧）

       使用的命令行

       解压压缩包：C:\Program Files\WinRAR\winrar.exe" x -inul -ibck -p-

       更新压缩包内的文件：C:\Program Files\WinRAR\winrar.exe" u -as -ep1 -inul -ibck

14.     使用IE下载其他恶意程序

15.     ARP攻击

查看完整信息请移步
http://blog.sina.com.cn/s/blog_59acc8e20100blkf.html

现在的情况是不能格式化机器

用最新的未感染的金山毒霸病毒库纯DOS下不报毒

手动将病毒文件改名后重启还是存在

求解决思路

dswll

avast! 用过了吗？