主页被锁定为main.94ak.com和TxHMoU.Exe,soS.Exe的查杀方法

最近不少网友反映主页被锁定为main.94ak.com，导致这个问题的原因其实就是最近风行的一个名为soS.Exe的病毒所致，该病毒以前写过很多文章了，但发现最近该病毒正通过移动存储,大量的网页挂马和局域网arp欺骗方式疯狂传播，而且会下载大量木马，甚至包括机器狗病毒，中毒者机器基本接近崩溃，因此下面把该病毒的完整解决方案详述一下

病毒简要分析File: TxHMoU.Exe
Size: 27136 bytes
Modified: 2007年12月16日, 12:12:07
MD5: 3A1382BE0C9B07DC403EC06ECED29649
SHA1: B4AD5D523A52F09E82EC5AB8E1DE3E44ACA909A4
CRC32: 4514BDF2
加壳方式：UPX

1.病毒运行后，衍生如下副本：
%systemroot%\system32\AuToRUN.Inf
%systemroot%\system32\TxHMoU.Exe
在每个分区根目录下面生成AuToRUN.Inf和soS.Exe，达到通过U盘等移动存储传播的目的。

2.不断调用reg.exe进行相关的系统破坏，其中包括
(1)添加自身启动项目
(2)禁用Windows自动更新
(3)禁用任务管理器
(4)破坏显示隐藏文件
(5)不显示文件扩展名

3.遍历磁盘分区删除gho文件

4.感染所有磁盘分区的遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，

CONN.ASP文件,并在其尾部加入ieframe代码

5.连接网络下载3个txt文本文档，并把它们保存到%systemroot%\system32下面命名为FSEz.COM，

FSEx.COM，FSEc.COM，FSEv.COM，FSEb.COM等
这三个文本文档一般分别为
http:/IE.txt
http://*/table.txt
.......................................