蠕虫worm.VB.amp与XP的“系统还原”

在“影子”环境中观察了一下：

此蠕虫的主体位于%system%\drivers文件夹内，共两个.exe文件：SREVICES.EXE和WINLOGON.EXE，文件的图标是“熊猫烧香”。
此外，此毒还在各分区根目录下释放autorun.inf和setup.exe；在系统文件夹以外的所有文件夹中搜索文件夹名，并建立与这些文件夹同名的.exe（与病毒主体文件相同），然后，再在各个文件夹中释放...exe、..exe、SYSTEM.INI，并将文件夹中不活动的.exe文件替换为病毒文件（原文件名不变）。
注册表改动见图1。
虽然可以在中毒环境下启动瑞星（rav.exe）全盘杀毒，但查杀速度异常缓慢，即使结束了病毒进程（图2），瑞星的杀毒速度也快不了多少。这蜗牛般的杀毒速度确实让人抓狂。

于是，想到了尝试用XP的“系统还原”解决.问题。

重启系统。

开启各个分区的“系统还原”。
先设置一个干净的还原点。
然后，运行这个蠕虫。
接下来的步骤是：
1、运行IceSword。用IceSword禁止进程创建，并结束病毒进程（图2）。
2、检查各个分区的“系统还原文件夹”，发现病毒副本——删除（图3）。
3、取消IceSword“禁止进程创建”，执行系统还原（图4－图6）。

40G的硬盘，两个分区。系统还原耗时两分钟左右。系统还原完成后，检查一下——系统是干净的。