欢迎进入反病毒社区论坛，与技术人员互动交流进入

病毒名称：Virus.Win32.Small.r（Kaspersky）
 病毒别名：Generic BackDoor.j（McAfee）
 　　　　　 Worm.Agent.fc（瑞星）
 　　　　　 Win32.Troj.Small.r.106496（毒霸）
 病毒大小：106,496 字节
 加壳方式：
 样本MD5：cdb08172bf30101dfba16ab40787aabd
 样本SHA1：2283219fdf50b0fe21ee0a34a0e2c9168787ad55
 发现时间：2007.8
 更新时间：2007.8

 关联病毒：
 传播方式：恶意网页下载，其它病毒或木马下载，可通过移动存储设备传播 字串5

 技术分析
 ========== 

 木马运行后在系统system目录下创建副本：
 %Windows%\system\svchost.exe 

 创建.目录：
 %Windows%\system\_sv_CMD_\

 修改Userinit启.动项内容： 

 [Copy to clipboard] [ - ]CODE:
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
 NT\CurrentVersion\Winlogon]
 "Userinit"="userinit.exe,%Windows%\system\svchost.exe"
 往分区根目录复制副本：
 X:\autorun.inf
 X:\RECYCLER\INFO.exe
 X:\RECYCLER\desktop.ini 
 autorun.inf内容： 

 [Copy to clipboard] [ - ]CODE:
 [autorun]
 open=
 shell\open\Command=RECYCLER\INFO.exe
 shell\open\Default=1
 shell\explore\Command=RECYCLER\INFO.exe
 desktop.ini内容，伪装RECYCLER为回收站： 字串4

 [Copy to clipboard] [ - ]CODE:
 [.ShellClassInfo]
 CLSID={645FF040-5081-101B-9F08-00AA002F954E}
 清除步骤
 ==========
 

 1. 修改Userinit启动.项内容为： 

 [Copy to clipboard] [ - ]CODE:
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
 NT\CurrentVersion\Winlogon]
 "Userinit"="%System%\svchost.exe"
 Windows XP/2003默认为：
 

 [Copy to clipboard] [ - ]CODE:
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
 NT\CurrentVersion\Winlogon]
 "Userinit"="C:\WINDOWS\system32\UserInit.exe,"
 Windows 2000默认为： 

 [Copy to clipboard] [ - ]CODE:
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
 NT\CurrentVersion\Winlogon]
 "Userinit"="C:\WINNT\system32\UserInit.exe,"
 2. 重新启动计.算机 
 3. 删除：
 文件：%Windows%\system\svchost.exe
 目录：%Windows%\system\_sv_CMD_\ 

 4. 通过资源管理器文件.夹树形目录进入分区根目录，删除文件：
 X:\autorun.inf
 X:\RECYCLER\INFO.exe
 （如果计算机里的分区都是FAT32文件格式，可以直接把X:\RECYCLER\目录删除）