病毒dgassgg.exe是七位字母命名的病毒变种，金山称之为“AV终结者”，不明白为什么这样称呼，不就IFEO劫持有点疯狂吗？今天收到网友的邮件，给出了ewido杀dgassgg.exe的结果（ewido也称其为AVkiller）：

C:\windows\system32\meex.com
C:\windows\system32\rslrgah.exe
C:\windows\system32\wmmbflg.exe
D:\dgassgg.exe
F:\dgassgg.exe（移动硬盘）

上BAIDU查找，发现只有一项结果，是个SRENG的扫描报告，有价值的是其启动项：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dagssgg 值：C:\windows\system32\rslrgah.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ecttyai 值：C:\windows\system32\wmmbflg.exe

好，我今天就根据这点信息更新“Autorun随机七位字母命名的病毒专杀”的杀毒指令！这个VBS写的病毒专杀模板经过了好几个月的发展，已经逐渐成熟了，往往能起到很棒的效果，虽然缺乏人性化，I AM SORRY~~~。由于这些变种行为都很相似，所以我更新杀毒指令，只需要添加不同的项即可。

七位字母命名的病毒专杀指令更新

更新一、结束病毒进程的功能模块中添加这两个相互保护的病毒进程：or name='rslrgah.exe' or name='wmmbflg.exe'。

更新二、病毒进程结束后，马上就删除病毒文件。于是添加这两行代码：
d(16)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\rslrgah.exe")
d(17)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\wmmbflg.exe")

更新三、遍历所有盘符开始删除盘符根目录下的病毒文件，添加如下代码：
set w_5=fso.getfile(drv.driveletter&":\dgassgg.exe")
w_5.attributes=0
w_5.delete
set u=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete

更新四、病毒文件都删除完毕后，现在开始操作注册表了，IFEO劫持等其它注册表键值的修复本专杀更新前就有了，所以这些我们都不必去管。我们要的是删除病毒的自启动项，这每个变种可是不一样的：
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dagssgg"
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ecttyai"

更新五、病毒都解决了，那现在我们来把病毒给IFEO劫持吧，这样在一定程度上起到免疫此毒的作用：
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rslrgah.exe\Debugger","NoVirus","REG_SZ"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmmbflg.exe\Debugger","NoVirus","REG_SZ"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dgassgg.exe\Debugger","NoVirus","REG_SZ"

好了，针对此毒的专杀指令就更新完毕了……不用怀疑这点代码的威力。所以以后有问题给我此病毒变种SRENG的扫描报告即可，虽然我不喜欢读SRENG的扫描报告……

病毒dgassgg.exe专杀下载

我的网盘http://ycosxhack.ys168.com/，“病毒专杀”目录，文件名为“七位字母命名的病毒专杀（2007.6.14更新）.rar”。不理解上面更新的信息，对照你下载的专杀源码就会明白了……转载请注明“余弦函数：http://hi.baidu.com/ycosxhack”。