定时关机病毒Trojan.Win32.ShutDown

Trojan.Win32.ShutDown（关机）病毒：

警惕程度★★★，

木马病毒，通过网络传播，

依赖系统：WIN9X/NT/2000/XP。

这是采用VC语言编写的木马病毒，运行后复制多个文件到系.统中，修改注册表实现开机自启动。病毒会搜索窗口，“进程查看器”、“注册表编辑器”、“Windows 任务管理器”等程序不能正常运行。开机1200秒（20分钟）后，病毒试图强行关闭用户电脑，给用户.造成很大困扰。
    
病毒分析：
    
    一、将自己复制为以下几个文件：
    
     C:\WINDOWS\system32\winvor.exe
     C:\WINDOWS\view.exe
     C:\system32.exe
     C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif
    
     二、修改注册表以下键以达到其自启动的目的：
    
     1.
     HKEY_LOCAL_MACHINE\Software\Microsoft
     \Windows\Currentversion\Run
     增加数据项："RUNEXE"
     数据值："％WINDIR％\VIEW.EXE"
    
     2.
     HKEY_CLASSES_ROOT\txtfile\shell
     \open\command
     (默认)
     数据值："C:\WINDOWS\system32\winvor.exe"
    
     三、查看当前系统是否存在以下窗口，如果.有则将它们结束：
    
     "进程查看器"、
     "注册表编辑器"、
     "Windows 任务管理器"
    
     四、查看当前系统是否存在以下进程，如果有则将它们结束：
    
     "taskmgr.exe"、
     "regedit.exe"、
     "cmd.exe"
    
     五、在C盘根目录下生成名为"autorun.inf"的文件，该文件会导致用户在访问C盘的同时将"C:\system32.exe"（病毒文件）运行。
    
     六、创建一个线程，该线程执行后将休眠1200秒然后关闭本地计算机。

手动方法：（杀毒软件基本在安全模式下可以查杀）

---------删除以下病.毒文件：（下个UNLOCKER 软件 删除不了的文件 解锁后-删除）
 
C:\WINDOWS\system32\winvor.exe 
C:\WINDOWS\view.exe 
C:\system32.exe 
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif 
 
---------修复注册表 开始--运行--输入REGEDIT 
 
1. 
HKEY_LOCAL_MACHINE\Software\Microsoft 
\Windows\Currentversion\Run 
增加数据项："RUNEXE" 
数据值："％WINDIR％\VIEW.EXE" 
 
2. 
HKEY_CLASSES_ROOT\txtfile\shell 
\open\command 
(默认) 
数据值："C:\WINDOWS\system32\winvor.exe"
------运行USBCLEANER.软件 帮你清除每个盘下面的autorun.inf文件
------进安全模式下杀毒软件全面扫描 用SRENG的系统修复修复系统