手工清除新型水牛U盘病毒

今天一同事拿U盘插到我的电脑上，一不小心中招，经查，在他的u盘根目录下有两个文件，分别是：Shuiniu，exe、AutoRun，inf，如图1所示。由于我的机器上安装了卡巴斯基。把病毒库升级到最新，对ShuiNiu，exe进行扫描，卡巴斯基报告称没有发现威胁，看来卡巴斯基也有马失前蹄的时候。由于开启了主动防御，可以观察到病毒的执行过程，感染ShuiNiu，exe后有这些现象：

1、能感染到插入机器的其它U盘；

2、停止防毒软件的保护；

3、映像档劫持(让另外下载的多款防毒软件无法救援)；

4、病毒修改系统时间让防毒软件的授权(序号)失效(这招真狠对每个防毒都有效)。

AutoRun.inf的内容如下：

[AutoRun]

Open=ShuiNiu.exe

Shell/Open=打开(＆O)

Shell/Open/Command=ShuiNiu，exe

Shell/Open/Default=1

ShellkExplore=资源管理器(＆X)Shel/Exlalore/Command=ShuiNiu.exe

从以上内容看，插入U盘之后，在“我的电脑”中点鼠标右键选“打开”与“资源管理器”均能中招。

病毒首先在[HKEY_LOCAL_MACHINEkSOFTWARE/MicrosoftXCryptographykRNG下修改“Seed”值。同时把自身复制到系统文件夹SYSTEM32下，并将自身注入到系统进程SVCHOST，EXE中。而进程SVCHOST，EXE是系统启动时必须运行的。卡巴斯基报告有风险软件Trojanqeneneric注入,IEXPLORE EXE，注入的目的是注册它的副本为开机自动运行程序。

在[HKEY＿LOCAL＿MACHINE/SOFTWARE/Microsoft/Windows/CurrentVe rsion/Runl以及[HKEY_LOCAL_MACHlNEXSOFTWAREXMic rosoft/Windows/CurrentVersion/Run-]下增加字符串DsNiu，值为系统文件夹下的ShuiNiu，exe，手工删除字符串DsNiu，病毒程序由于采取了自身保护技术立刻就被恢复。删除系统文件夹SYSTEM32下ShuiNiu，exeB寸报告无法删除。

正确的做法是运用系统配置实用程序或Windows优化大师等软件把系统自启动项中的DsNiu前面的勾去掉(如图2)。重新启动计算机，再删除相关的项目。

系统默认自动弹出的运行选择窗口也助长了中毒的危险。利用组策略设置。可以禁止光盘U盘自动运行，再加上避用双击打开盘符的办法，可以大大降低U盘病毒的中招可能性。

下面来看看如何用组策略设置禁止光盘U盘自动运行：

1、 点击“开始”选择“运行”。键入“gpedit，msc”，并运行，打开“组策略”窗口(如图3)。

2、在左栏的“本地计算机策略”下，打开“计算机配置一管理模板一系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”；弹出窗口(如图4)。

3、选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮。退出“组策略”窗口。注销即可。