2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　（1） 使用ATOOL“进程管理”关闭%system32%oobe755svchost.exe

　　路径的病毒进程

　　（2） 恢复注册表项

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{03C12478-A0D3

　　-4291-A535-F6D16BA08D68}InprocServer32@

　　值: 字符串: "C:WINDOWSsystem32oobeunkgknroni.dll"

　　描述：添加注册表启动项

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{03C12478-A0D3-4291

　　-A535-F6D16BA08D68}ProgID@

　　值: 字符串: "unkgknroni.XunBHoSwf"

　　描述：病毒文件注册为BHO的名称

　　HKEY_LOCAL_MACHINESOFTWAREClassesunkgknroni.XunBHoSwfClsid@

　　值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"

　　描述：注册CLSID值

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

　　ExplorerBrowser Helper Objects{03C12478-A0D3-4291-A535-F6D16BA08D68}

　　描述：将病毒DLL文件注册为BHO浏览器辅助对象

　　HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccess

　　ParametersFirewallPolicyStandardProfileAuthorizedApplications

　　ListC:WINDOWSsystem32oobe7955svchost.exe

　　值: 字符串: "C:WINDOWSsystem32oobe7955svchost.exe:*:Enabled:svchost"

　　描述：将病毒文件设置为Windows自带防火墙为旅行，达到调过防火墙窗口询问目的

　　(4) 删除病毒毒衍生的文件：

　　%system32%302fcc88b1.dll

　　%windir%f218f4fbb2.dll

　　%system32%oobe755svchost.exe

　　%system32%oobeqnujhyroni.dll

　　使用命令：rd bak../s在CMD命令下删除%system32%oobe目录下的bak.文件夹，或使用ATOOL工具强行删除该文件夹