病毒文件：
GameSetup.exe、Setup.exe、clipsrv.exe、clipsrv.dll

病毒工作情况：
GameSetup.exe和Setup.exe是病毒的安装程序，执行以后，会进行如下操作：
1、    在各个盘符下生成Autorun.inf和Setup.exe
2、    在\system32\drivers\下释放病毒文件clipsrv.exe和clipsrv.dll文件
3、    将系统服务ClipBook的程序路径指向\system32\drivers\clipsrv.exe并加载
4、    clipsrv.dll注入系统进程，在后台运行，关闭各类杀毒软件、IceSword、注册表编辑器、资源管理器等程序，并且不断更改首页为www.51.vc
5、    有些情况GameSetup.exe会添加计划任务，并且通过局域网感染其他计算机，并且将自身写入\Documents and Settings\All Users\「开始」菜单\程序\启动
6、    当用户双击盘符时，Setup.exe会重新被执行，同时造成Explorer错误，出现大量的系统错误提示

手工清除方法：
1、    重启计算机进入安全模式，更改文件夹选项，将所有文件显示（包括受保护的操作系统文件）；
2、    打开注册表编辑器，将
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\ImagePath更改为%SystemRoot%\system32\clipsrv.exe
3、    查找删除计算机中所有的GameSetup.exe、Setup.exe、clipsrv.exe、clipsrv.dll文件
4、    更改IE首页
5、    打开控制面板中的计划任务，看是否被添加了计划任务，如果有，则删除
6、    删除各个盘符下的Autorun.inf文件（注意打开盘符时使用右键打开方式，千万不要双击）

备注：如果安全模式无法进入，可以使用Autoruns在正常模式下删除病毒clipsrv.exe所创建的服务项，然后重启再从第三步开始操作。

预防方法：
瑞星19.02.30版本已经可以识别该病毒，命名为Worm.Hoby.a，建议处理完病毒后，将瑞星杀毒软件及时升级到19.02.30以上，以防再次被感染。

路过~~~