警惕蠕虫病毒 Worm.Win32.AutoRun.egq

警惕蠕虫病毒 Worm.Win32.AutoRun.egq
Worm.Win32.AutoRun.egq该病毒属蠕虫类，病毒运行后，复制自身到各驱动器根目录和%System32%下，更名为nktokedn.exe，并衍生autorun,inf文件，复制自身到%System32%下，更名为nfpdduax.exe；并在%System32%下衍生病毒文件，修改注册表，添加两处启动项，针对安全软件添加大量映像劫持；修改注册表，将部分服务的启动方式设置为“已禁用”，使“文件夹选项”中“隐藏受保护的操作系统文件（推荐）”选项不可见，将隐藏文件的显示方式更改为“不显示隐藏文件和文件夹”；删除相关注册表项，使文件夹选项中“显示隐藏文件和文件夹选项” 不可见,删除注册表安全模式启动下驱动加载项，使感染机器无法启动安全模式;连接网络下载病毒文件并运行，
病毒运行完毕后，删除自身。
清除方案：
1.
使用安天防线2008可彻底清除此病毒(推荐)。
2.
手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）
使用安天防线2008“进程管理”关闭病毒进程
（2）
删除病毒文件
（3）
恢复病毒修改的注册表项目，删除病毒添加的注册表项
1)
删除注册表项
1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
2.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run]
3.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\劫持的文件名称]
2)
还原删除的注册表项
4.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer