今天很无奈的发现中了Trojan.Win32.Agent.bvl这个病毒,用了一下午时间分析后终于成功清除

病毒特征:

1).在X:/windows/system32/drives/下生成随机SYS文件

2).在X:/windows/system32下生成随机DLL文件(此两个文件可以被瑞星查出但无法删除)

3).在注册表内生成带有随机SYS文件的键值(此注册表项无法修改无法删除)

4).在服务里生成三项无注释的服务项(或许是以前就有无法断定于以上有关)

初步断定

1.系统启动时随EXPLORER.EXE或服务项启动(尚且无法判定)用进程查看类软件可以看出与EXPLORER.EXE有关

2.服务项启动后会检查注册表(见4))

3.杀毒软件无法删除,进入安全模式也无法删除,初步怀疑是系统权限方面设置异常所至,
  (但由于操作系统是FAT32分区所以无法看见文件安全项)

处理方法

步骤一:用杀毒软件查出文件后,记下文件名及所在位置.

步骤二:多选~
     
      1.重装系统
      2.GHOST恢复
      3.还原点恢复
      4.找另一块装好系统的硬盘,用此硬盘系统启动,删除病毒文件,修改注册表键值
      5.终极方法,下载WINPE或者类似工具,U盘启动或者光盘启动后,删除病毒文件,修改
        注册表键值

大功告成