病毒文件路径：C:\windows\system32\takopndw.dll 动态链接库文件，插入到可执行exe进程从而达到运行。 注册表键值达到开机自启动： [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager] “PendingFileRenameOperations”=hex(7):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,\ 77,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,73,00,79,00,73,00,74,00,65,\ 00,6d,00,33,00,32,00,5c,00,74,00,61,00,6b,00,6f,00,70,00,6e,00,64,00,77,00,\ 2e,00,64,00,6c,00,6c,00,00,00,00,00,00,00 （特别注意PendingFileRenameOperations的键值） 解决方法： 开始-运行-输入regedit打开注册表编辑器 依次打开 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager 删除PendingFileRenameOperations键值 重新启动计算机后删除C:\windows\system32\takopndw.dll

在移动U盘或者移动硬盘上，会形成以下两个隐藏而且是只读文件 1.autorun.inf 打开后全是乱码，但是发现有一串恶意代码shelLExECUte*=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx 2.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx 在系统system32目录下生成一个隐藏属性的dll文件dtfdpqo.dll 和gctsa.dll 这个文件的名字根据经验是随机的 所以很难判断，但是有一点，它是隐藏属性。 找到了蠕虫根源就好解决了 u盘中两个文件直接删除即可 但是系统目录下的dll文件删除会提示系统文件，需要用一些强制删除工具删除。