随机数字命名.pif文件类病毒分析与清除

昨天去給一个客户清理病毒，看上去很顽固，试了很多次才发现症结所在，拿出来分享給大家，有需要的时候作为参考。

中毒现象：

1.“程序”－“启动”中自动加载随机数字命名的.pif文件，如3.pif、5.pif等，比较有意思的是都是奇数文件名，没有偶数的。

2.所有盘符下出现autorun.inf和hbx字样隐藏dos快捷方式。

3.Downloaded Program Files可能会出现svchost.exe。

4.当你试图删除“程序”－“启动”中的.pif文件时会出现拒绝访问的提示。

5.部分机器会每隔一段时间弹出网页。

病毒清除

处理了多次，autorun.inf和hbx重启后仍然出现，最后发现有个隐藏的wuauclt.exe程序一闪即逝，原来是病毒生成，替代了系统的升级程序，清理此病毒的关键就在此。

禁止该进程启动，删除伪装的wuauclt.exe文件，将wuauclt1.exe名称恢复为wuauclt.exe，再次清理autorun.inf和hbx，完成。

这年头，眼神不好用也不成啊。