基本信息

病毒特征

查杀方法

基本信息

进程文件：txomou.exe

文件版本：未知N/A

文件大小：28,160 字节

所在系统：Win9x, WinMe, WinNT, Win2000, WinXp, Win2003

所在位置：C:\\WINDOWS\\system32

MD5校验码：80FEEA0D5D3E0F1EDE1C41326F943CA2

进程名称：Worm.Win32.AutoRun.blg

描　述：txomou.exe该病毒属蠕虫类，病毒运行后。复制自身到%System32%下，并衍生autorun.inf文件；复制自身到各个驱动器根目录下，衍生autorun.inf文件，以达到双击打开盘符自动执行病毒文件的目的，修改系统时间年份为2000年；修改注册表，隐藏具有系统属性和隐藏属性的文件，并将其锁定，使用户无法进行修改；禁用任务管理器；关闭系统自动升级，锁定IE主页，使用户无法修改，创建启动项，使病毒能够随机运行；连接网络，下载病毒文件，并执行，搜索HTML扩展名的文件，在后面添加97个空字节，该病毒应为病毒的测试版本，为以后版本提供便利；病毒运行完毕后删除自身。

出 品 者：未知N/A

属　于：未知N/A

系统进程：否　

后台程序：是

使用网络：是

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

风险等级(0-5)：5

间谍软件：否

广告软件：否

病毒文件：是

木马文件：否

病毒特征

1、系统时间同样被改成2000年，日期，时间不变；

2、病毒被激发10分钟后，360安全卫士，瑞星等软件打开后直接自动关闭；

3、打开网页一定时间内关闭（有时候直接关闭，有时候输入搜索内容就被关闭）；

4、该病毒夹带了另一个病毒0svth.exe（前面数字有好几个）；

5、同样c：\\windows\\system32下有Autorun.inf这个文件；

6、最厉害的一招，更改所有HTML或者HTM文件，最后面夹带有该病毒的网页只要打开网页，即使杀完毒，该病毒同样被激发；

查杀方法

先去把需要用的工具下载下载：http://www.antidu.cn/board/helpst/

首先我点击开始---运行---输入msconfig----回车，在启动项里，只打开ctfmon.exe和杀软的3个启动项（瑞星还有一个防火墙）

进入安全模式，用360查杀木马，和恶意程序，然后用我上次介绍的方法 http://www.antidu.cn/html/1/2007/12/antidu_20071220204542.html

（详细请参考这里，唯一不一样的是，没有reg.exe这个文件，我搜索的是0svth.exe这个文件）

重新启动电脑后，大约10分钟，这个病毒都没有出现，心里暗喜，这个病毒终于解决了。

来吧，上联众打牌去，刚登陆联众，便弹出，00xXXXXXXXXXX不能为“read”，请调试之类的对话框，随后，便关闭联众，这时候，这个病毒又被激活，接下来又是重起--手动杀毒--重起---联众游戏----重起---手动杀毒—，反复好几次。我快要疯了，为什么我每次打开联众，这个病毒就会激活？我仔细想了下，难道，病毒进入了联众里？于是，删除联众，再安装，依然是一样，无语中……这时候我突然想起联众都是在弹出广告的时候，被关闭，然后病毒被激活，于是，为了验证我的判断，重起--手动杀毒--重起，此时我不打开联众了，我打开网页，此时不打开则已，一打开又被激活。

第6条提醒了我，病毒已经修改了HTML页，如果把网断掉，病毒就不会出现，只要打开网页上网，病毒就会激发。

我再次进入安全模式，不光重复着搜索TxoMoU.exe、0svth.exe和autorun.inf把他们删掉，我又这样搜索：

同样在搜索所有文件和文件夹里，不输入任何字符，点击“什么时候修改的”选择“指定日期”，选择创建日期该成从2000年12月24日至2000年12月25日（我的是12月24日和25日之间中的毒，你们也要根据日期和时间变化），按这个时间进行全盘搜索，这时候你会看到大部分都是HTML文件，把搜索到的所有文件都删掉，（文件夹不要删，进入文件夹，找到日期相关文件删掉），如果提示删不掉，不要紧，多删几便，即使提示删不掉，其实已经不存在了。再把创建日期该成修改日期，时间日期还不变再搜索一便，同样全删掉，这时候再重新启动计算机，打开网页，没有再激发，病毒全部解决。

如果大家还是解决不了的话，http://www.antidu.cn/board/zsst/ 有专杀工具下载