gg.exe(Worm.Win32.AutoRun.wp)U盘木马清除方法

文件名称：gg.exe

文件大小：65607 byte

AV命名：

Worm.Win32.AutoRun.wp 卡巴斯基

Worm.Delf.65607 金山毒霸

Win32.HLLW.Autoruner.548 Dr.WEB

加壳方式：未

编写语言：Microsoft Visual C++ 6.0

文件MD5：33d493af096ef2fa6e1885a08ab201e6

行为分析：

1、 释放病毒文件：

C:\WINDOWS\gg.exe 65607 字节

2、 添加启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(注册表值) ctfmon.exe = REG_SZ, "C:\windows\gg.exe"

3、 查找可用磁盘，生成：autorun.inf和gg.exe，实现U盘感染。

4、 连接121.206.1.2××下载木马，不过未实现。

5、 直接获取系统内存，隐藏自身，防止被结束。

解决方法：

1、 下载冰刃和SREng。

2、 打开冰刃，结束病毒进程。（gg.exe）

3、 打开SREng，删除启动项：

(注册表值) ctfmon.exe，指向的C:\windows\gg.exe。

注意不要删除错了。

4、 删除病毒文件： 
 C:\WINDOWS\gg.exe 65607 字节

5、 用winrar删除磁盘底下的文件，注意不要双击进入磁盘，不要病毒又复活了。