近期shualai.exe病毒群清除实战

这是利用ani漏洞传播的病毒，今天就亲自去杀了两三台机器，也是一个群居病毒，多文件释放，感染autorun.inf，释放oso.exe，增加普通用户查杀得困难，更恶劣一点是用了镜像劫持，用户运行某些杀毒软件或者工具的时候，实际执行的是病毒文件，该病毒文件位于 system32\drivers 目录中，手上的这个病毒生成一个conime.exe在drivers目录。

我杀的时候主要采用了冰刃和autoruns，其中冰刃icesword.exe已经被劫持，不能直接运行，将文件名改名后能正常运行，然后运行autoruns，查看启动项，在冰刃中禁止进程创建，先杀进程中的病毒，再清理注册表开机运行的项目，该病毒镜像劫持了不少常用软件，我看到的机器是瑞星无法启动，看上去很多被劫持的软件都无法启动，要在autoruns中将所有被劫持的项目清除，有几个地方的东西要特别注意清理，就是  document and setting\用户名\Local setting\temp,这些临时文件可以全部清理，此外，windows目录和system32目录都有病毒文件，之后取消自动播放项目，一般就可以了。

 这个病毒衍生的病毒文件名，可能会包括但不限于以下这些：cmdbcs.exe, servere.exe, shualai.exe, shualai.dll, 部分病毒可能带灰鸽子变种。

冰刃和autoruns在本站常用软件下载中有，取消自动播放请看禁止自动播放 。