病毒标签：

病毒描述：

清除方案：

病毒标签：

病毒名称： Worm/Win32.AutoRun.dld

病毒类型： 蠕虫类

文件 MD5： E15D30C30B80FA6A7FA0A0A6DC38B87A

公开范围： 完全公开

危害等级： 4

文件长度： 28,000 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： WinUpack 0.39 final

病毒描述：

该病毒为蠕虫类，病毒运行后复制自身到系统目录，并重命名为svchost.exe，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。以病毒副本进程连接网络下载病毒文件KB930.vxd，并且回传用户信息。在注册表中添加大量映像劫持项，以反制杀软及安全程序。该病毒还尝试感染非系统目录下的exe文件，添加新的区块.xue，写入病毒代码。

清除方案：

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天防线或ATool中的“进程管理”关闭病毒进程

%WinDir%\\Fonts\\3e561cba2ae2b8ec95d86f3cf009aabe\\system\\svchost.exe

(2) 强行删除病毒文件

%WinDir%\\Fonts\\3e561cba2ae2b8ec95d86f3cf009aabe\\system\\svchost.exe

%WinDir%\\Fonts\\3e561cba2ae2b8ec95d86f3cf009aabe\\system\\KB930.vxd

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

注册表值：" TBMExe "

类型： REG_SZ

值： "C:\\WINDOWS\\Fonts\\3e561cba2ae2b8ec95d86f3cf009aabe\\system\\svchost.exe"

(4) 删除注册表中添加的映像劫持项