Trojan.Win32.ShutDown（关机）病毒：

　　警惕程度★★★，

　　木马病毒，通过网络传播，

　　依赖系统：WIN9X/NT/2000/XP。

　　这是采用VC语言编写的木马病毒，运行后复制多个文件到系统中，修改注册表实现开机自启动。病毒会搜索窗口，“进程查看器”、“注册表编辑器”、“Windows 任务管理器”等程序不能正常运行。开机1200秒（20分钟）后，病毒试图强行关闭用户电脑，给用户造成很大困扰。
     
　　病毒分析：
     
　　一、将自己复制为以下几个文件：
     
　　C:\WINDOWS\system32\winvor.exe
　　C:\WINDOWS\view.exe
　　C:\system32.exe
　　C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif
     
　　二、修改注册表以下键以达到其自启动的目的：
     
　　1.
     HKEY_LOCAL_MACHINE\Software\Microsoft
     \Windows\Currentversion\Run
     增加数据项："RUNEXE"
     数据值："％WINDIR％\VIEW.EXE"
     
     2.
     HKEY_CLASSES_ROOT\txtfile\shell
     \open\command
     (默认)
     数据值："C:\WINDOWS\system32\winvor.exe"
     
　　三、查看当前系统是否存在以下窗口，如果有则将它们结束：
     
     "进程查看器"、
     "注册表编辑器"、
     "Windows 任务管理器"
     
　　四、查看当前系统是否存在以下进程，如果有则将它们结束：
     
     "taskmgr.exe"、
     "regedit.exe"、
     "cmd.exe"
     
　　五、在C盘根目录下生成名为"autorun.inf"的文件，该文件会导致用户在访问C盘的同时将"C:\system32.exe"（病毒文件）运行。
     
　　六、创建一个线程，该线程执行后将休眠1200秒然后关闭本地计算机。

　　手动解决方法：（杀毒软件基本在安全模式下可以查杀）

　　---------删除以下病毒文件：（下个UNLOCKER 软件（可到down.45its.com下载） 删除不了的文件 解锁后-删除）
  
C:\WINDOWS\system32\winvor.exe  
C:\WINDOWS\view.exe  
C:\system32.exe  
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif  
  
　　---------修复注册表 开始--运行--输入REGEDIT ，打开注册表依次进行以下操作：
  
1.  
HKEY_LOCAL_MACHINE\Software\Microsoft  
\Windows\Currentversion\Run  
增加数据项："RUNEXE"  
数据值："％WINDIR％\VIEW.EXE"  
  
2.  
HKEY_CLASSES_ROOT\txtfile\shell  
\open\command  
(默认)  
数据值："C:\WINDOWS\system32\winvor.exe"
　　------运行USBCLEANER软件 帮你清除每个盘下面的autorun.inf文件
　　------进安全模式下杀毒软件全面扫描 用SRENG（可到down.45its.com下载）的系统修复修复系统