对联式悲哀

帮别人杀毒，碰到这个东西，卡巴斯基命名为Worm.Win32.AutoRun.pdk
粗看似乎很好杀，结果被它以极其弱智的招数给阴了...( － －|||)

病毒的套路很简单：
先说被阴到的这招，其实是我自己太大意...
·添加开始菜单启动项“[数字].pif”
这个破东西，在当前用户和All Users的开始菜单里都做了手脚
可是SREng扫描只检查出当前用户的开始菜单项，我也没注意，忘了删另一个
于是重启之后丫又自动运行了...只好再删一次...

·利用U盘等移动存储设备传播
在每个盘下面创建Autorun.inf，
将右键打开/资源管理器命令都指向病毒主体HERO.pif（看其他人的症状，似乎会随机命名*.pif）

·映像劫持各种常见的杀毒软件和安全工具
全部被指向C:\WINDOWS\system32\dllcache\wuauclt.exe，
并且与时俱进，总算把新版的SREng（SREngLdr.exe）给包含了进去。

·修改system32\wuauclt.exe以及system32\dllcache\wuauclt.exe文件
这是该病毒屡杀屡现的关键，很容易一不小心就漏掉这两个。

·添加注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <internetnet><C:\WINDOWS\system32\wuauclt.exe>

此外，朋友的电脑里还多出两个不明驱动，不知道是不是同一个病毒
[dog0725 / dog0725][Stopped/Manual Start]
    <\??\C:\Documents and Settings\用户名\桌面\obj2.sys>
[MMIOPORT / MMIOPORT][Stopped/Manual Start]
    <\??\C:\WINDOWS\system32\drivers\MMIOPORT.sys>
第一个驱动据说是机器狗？居然放在桌面，囧...反正两个我都给删掉了。

·修改系统时间至2004年
这也是那个据说叫机器狗的东西干的么？

另外Documents and Settings当前用户目录下还有另外几个“[数字].pif”的备份
system32目录下还有一个a.exe的备份，
或许硬盘其他角落还有，留待杀毒软件去找...

其他暂时没发现什么异常。

============ 解决方法的分割线 ============

首先还是那句老生常谈：良好的U盘使用习惯才是王道！

1. 用XDelBox或者WinPE盘或者Linux等等等等随便什么办法，把上面提到的
　C:\Windows\system32\dllcache\wuauclt.exe
　C:\Windows\system32\wuauclt.exe
　X:\Autorun.inf
　X:\HERO.pif
　以及两个启动菜单里面的*.pif，还有两个不明驱动，统统删掉。

2. 再用SREng（随便改个名字再运行）删掉对应的
　注册表启动项<internetnet><C:\WINDOWS\system32\wuauclt.exe>
　以及N个映像劫持（IFEO）项
　把启动项目——服务——驱动里面的不明驱动禁用或者删除
　当然你也可以给regedit.exe随便改个名字然后进注册表编辑器手动删

3. 把系统时间改回来
　还要从别人的机器上拷一个正常wuauclt.exe过来放在system32下面
　或者从安装盘里面expand出来，详情自己在控制台里调用expand /?查看

4. 这之后保险一点，最好再用杀毒软件全盘扫描一次

如果你够无聊的话，或许还可以这样玩：
也建一个IFEO，把wuauclt.exe劫持到ntsd -d
把HERO.pif劫持回explorer.exe %1（StriGes教导说什么都可以被劫持）
　　　　　　　　　　　　　　——最后这段请无视我...//esc