.scr 病毒查杀分析及方法

最近一银行客户受到数字.scr病毒困扰，使用了几种杀毒软件在安全模式下查杀都无法彻底根除病毒，重启后病毒会自动出现。经过几次测试，结合趋势科技的相关解决方案，病毒得到了有效的控制。

症状：1.病毒每次随smsc.exe或svchost.exe进程启动

2.病毒随机生成数字.scr文件（数字一般0-99），出现在Windows/System32文 件夹下。

解决方案：1.在安全模式下关闭系统还原，并断网查杀。

2.打开注册表，搜索.scr表项，删除所有数字.scr的键值

3.删除注册表中下面两项

1）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal

SVCWINSPOOL

2）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network

SVCWINSPOOL

4.删除注册表中下面键值

1）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

WSVCHO = "%System%\svhost.exe"

2）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

%System%\svhost.exe = "%System%\svhost.exe:*:Microsoft Enabled"

3）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,将WSVCHO删除

4）HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSDRV32，将SYSDRV32删除

5.瑞星查杀 Windows/System32目录 。

6.打微软MS08-067补丁后重启即可。