瑞星报的Trojan.Win32.Agent.vti只是这个病毒释放的一个dll,由于瑞星不能检测出病毒主程序，所以导致清除掉内存中的Trojan.Win32.Agent.vti以后，重启后病毒的主程序仍会释放那个dll,从而出现履杀不净的情况。

　　下面是关于这个病毒的简要分析和查杀方法：

　　File: auto.exe
　　Size: 21551 bytes
　　MD5: 17397C773EFF2D052BC3CBE66512DAB1
　　SHA1: B9B7383E6BE4111DF1889591F0BA0153FF1EE323
　　CRC32: 235B28FE

　　病毒生成物特点：
　　在%system32%下面生成一个随机8个字母和数字组合成的exe文件,并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程（瑞星报的就是这个dll）。

　　以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称。

　　并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

　　本例中生成物如下：
　　C:\WINDOWS\system32\E2050308.DLL
　　C:\WINDOWS\system32\F2F187EC.EXE
　　注册为如下服务：B12E7AC4

　　连接网络下载木马，木马下载的种类千变万化，所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。

　　本例中木马植入完毕以后生成如下文件

C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\DbgHlp32.dll C:\WINDOWS\system32\DiskMan32.dll C:\WINDOWS\system32\E2050308.DLL C:\WINDOWS\system32\F2F187EC.EXE C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\MsIMMs32.dll C:\WINDOWS\system32\nslookupi.exe C:\WINDOWS\system32\NVDispDrv.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\WinForm.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\DbgHlp32.exe C:\WINDOWS\DiskMan32.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\mppds.exe C:\WINDOWS\MsIMMs32.exe C:\WINDOWS\NVDispDrv.exe C:\WINDOWS\upxdnd.exe C:\WINDOWS\WinForm.exe ...

　　对应的sreng日志如下：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <mppds><C:\WINDOWS\mppds.exe>    []       <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []       <DiskMan32><C:\WINDOWS\kterzx.exe>    []       <WinForm><C:\WINDOWS\WinForm.exe>    []       <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []       <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>    []       <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []       <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>    []       <upxdnd><C:\WINDOWS\upxdnd.exe>    []       <NVDispDrv><C:\WINDOWS\kterzx.exe>    [] ================================== 服务 [B12E7AC4 / B12E7AC4][Stopped/Auto Start]     ================================== 正在运行的进程 [PID: 1672][C:\WINDOWS\Explorer.EXE]    [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]       [C:\WINDOWS\system32\mppds.dll]    [N/A, ]       [C:\WINDOWS\system32\upxdnd.dll]    [N/A, ]       [C:\WINDOWS\system32\AVPSrv.dll]    [N/A, ]       [C:\WINDOWS\system32\DiskMan32.dll]    [N/A, ]       [C:\WINDOWS\system32\NVDispDrv.dll]    [N/A, ]       [C:\WINDOWS\system32\MsIMMs32.dll]    [N/A, ]       [C:\WINDOWS\system32\WinForm.dll]    [N/A, ]       [C:\WINDOWS\system32\cmdbcs.dll]    [N/A, ]       [C:\WINDOWS\system32\DbgHlp32.dll]    [N/A, ]       [C:\WINDOWS\system32\Kvsc3.dll]    [N/A, ]       [C:\WINDOWS\system32\E2050308.DLL]    [Microsoft Corporation, ]

　　==================================
Autorun.inf文件信息：

[C:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe [D:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe [E:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe

　　手动查杀方法：

　　一.清除病毒主程序（随机8位字母和数字组合的exe和dll）
　　1.首先下载sreng这个软件（可到down.45its.com下载）
　　解压缩后运行srengps.exe
　　依次点击“启动项目”-“服务”-“Win32服务应用程序”    之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母（大写）和数字组合的服务

　　然后选中下面的 “删除服务” 并单击设置按钮，在弹出的框中点“否”

　　2.重启计算机进入安全模式下

　　把下面的代码拷入记事本中然后另存为1.reg文件

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105"

　　双击1.reg把这个注册表项导入

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，点击    菜单栏下方的 文件夹按钮（搜索右边的按钮）。

　　在左边的资源管理器中打开C盘（系统盘）

　　删除如下文件
　　C:\auto.exe
　　C:\autorun.inf
　　以及每个分区下面的auto.exe和autorun.inf

　　%system32%文件夹下的随机8个字母和数字组合的exe和dll
　　即本例中的C:\WINDOWS\system32\E2050308.DLL
　　C:\WINDOWS\system32\F2F187EC.EXE

　　至此病毒主程序已经被删除了，接下来清除其下载的木马

　　二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）

　　还是在安全模式下（重启系统长按F8直到出现提示，然后选择进入安全模式）

　　打开sreng
　　启动项目    注册表 删除如下项目

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <mppds><C:\WINDOWS\mppds.exe>    []       <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []       <DiskMan32><C:\WINDOWS\kterzx.exe>    []       <WinForm><C:\WINDOWS\WinForm.exe>    []       <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []       <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>    []       <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []       <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>    []       <upxdnd><C:\WINDOWS\upxdnd.exe>    []       <NVDispDrv><C:\WINDOWS\kterzx.exe>    []

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，点击    菜单栏下方的 文件夹按钮（搜索右边的按钮），在左边的资源管理器中打开C盘（系统盘）。


　　删除如下文件

C:\WINDOWS\mppds.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\kterzx.exe C:\WINDOWS\WinForm.exe C:\WINDOWS\AVPSrv.exe C:\WINDOWS\MsIMMs32.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\DbgHlp32.exe C:\WINDOWS\upxdnd.exe C:\WINDOWS\kterzx.exe C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\DiskMan32.dll C:\WINDOWS\system32\NVDispDrv.dll C:\WINDOWS\system32\MsIMMs32.dll C:\WINDOWS\system32\WinForm.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\DbgHlp32.dll C:\WINDOWS\system32\Kvsc3.dll

　　最后需要修复或者重装瑞星杀毒软件，并一定修改你的网络游戏密码。

　　另外此病毒一般通过U盘等移动存储传播，所以如果你电脑最近有插过移动存储，那么大致可以判断病毒是从移动存储传播到你的电脑里的。对于此类病毒，烦请大家做好如下预防工作，不要再让这类病毒扩散了。（这种东西下载的木马很多，看日志眼都会花的）

　　1.关闭自动播放
　　在“开始”菜单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

　　2.锁住某些注册表权限
　　开始－运行－输入regedit,展开　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2，右键单击这个键，权限，把管理员的权限设置为拒绝。

　　3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫（可到down.45its.com下载）

　　4.克服拿来陌生U盘就双击打开的方法！！！
　　最安全的打开U盘方式如下：
　　打开我的电脑    点击菜单栏下方的 文件夹按钮（搜索右边的按钮），从左边的资源管理器 进入U盘（同上面清除病毒时打开磁盘分区的方法）