U盘出现美女游戏和重要资料，杀毒软件被关闭

　　清除方法归结为一句话：“夹缝中求生”

　　IceSword.exe、SREng.exe均被禁，但只需将文件改名，照样可以运行

　　autoruns.exe则不在被禁的行列

　　其他的被禁程序，一步步解禁

　　具体过程：

　　结束进程：

　　%systemroot%\system32\gfosdg.exe
　　%systemroot%\system32\severe.exe
　　%systemroot%\system32\drivers\conime.exe

　　没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等

　　用autoruns删除以下项目（建议用autoruns，一是没被禁，二是一目了然，注意先选Options-HideMicrosoftEntries）：（实际上我自己用的是冰刃，改个扩展名就可以用，可以中止进程，阻止进程创建，也可以强行删掉文件，改动注册表，很不错）
　　+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ avp.com c:\windows\system32\drivers\mpnxyl.exe
　　+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
　　+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
　　+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
　　+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
　　+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
　　+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
　　+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
　　+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

　　这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止

　　删除或修改启动项：

　　以用SREng为例
　　在“启动项目”-“注册表”中删除：
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
　　<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]

　　双击以下项目，把“值”中Explorer.exe后面的内容删除
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

　　删除文件：

　　由于非系统盘即便右键打开也会有危险，应该采用其他方法，推荐用IceSword或WINRAR来做

　　删除：

　　%systemroot%\system32\gfosdg.exe
　　%systemroot%\system32\gfosdg.dll
　　%systemroot%\system32\severe.exe
　　%systemroot%\system32\drivers\mpnxyl.exe
　　%systemroot%\system32\drivers\conime.exe
　　%systemroot%\system32\hx1.bat
　　%systemroot%\system32\noruns.reg
　　X:\OSO.exe
　　X:\autorun.inf

　　系统修复与清理：

　　在注册表展开
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　建议将原CheckedValue键删除，再新建正常的键值：
　　"CheckedValue"=dword:00000001

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
　　NoDriveTypeAutoRun键的值，是否要改，要改为什么，视乎各人所需，一般默认为91（十六进制的）

　　此键的含义，请搜索网上资料，在此不再赘述

　　HOSTS文件的清理

　　可以用记事本打开%systemroot%\system32\drivers\etc\hosts，清除被病毒加入的内容

　　也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”，然后点“保存”

　　最后修复一下服务被破坏的杀毒软件。

　　小结：

　　从拿到样本到方法写完，历时整整五小时。之所以要说得如此详细，是因为这个病毒相当的典型，尤其是它对付安全软件的几种方法。右键菜单没变化，也是比较“隐蔽”而且给清除带来麻烦的一个特征。对付这个病毒，也要在“知己知彼”的基础上，灵活运用方法和工具。

　　QQ软件园反病毒专家建议电脑用户采取以下措施预防病毒：下载金山毒霸（点击下载）进行全盘杀毒，同时注意更新自己电脑里的杀毒软件的病毒库，建立良好的安全习惯，不打开可疑邮件和可疑网站，很多病毒利用漏洞传播，一定要及时给系统打补丁！

　　我自己杀的时候是先将冰刃改名（改成.com就可以运行了），然后在里面禁止创建进程，再删掉病毒进程和病毒文件，再改注册表就OK了。病毒发作时真的将系统时间改到了2004年，要改回来。另外还要全面对系统杀下毒看有没有被其它病毒附上。