之前被我删除的那篇文章提到，这个小毒屏蔽了瑞星、微点、EQ、狙剑、IceSword、360、费尔、SREng、KV、风云防火墙，等等。

关键字封锁很严密呀，一些不知名的程序也都封掉了。

然而……真的只有这些程序能帮我们反病毒吗？答案是否定的。

还有谁呢？OllyDbg！

1.运行病毒（已经中毒的可以略过此步骤）。

2.打开 OllyDbg。

3.选择文件->附加。

4.看到那俩在 %SystemRoot%\System32\Com 下的伪装系统进程了么？选择其中的一个，点附加。

5.你会看到 OllyDbg 出色地完成了任务，此病毒进程停在了 Ntdll.dll!DbgBreakPoint。

6.重复2-4步骤。

7.现在你可以开始使用任何工具了。因为病毒进程被全部暂停，所以不会有人24小时 FindWindowA 了，哈哈。

病毒似乎隐藏了那俩文件，应该是驱动做的，没仔细看。不过其实最简单的 MoveFileEx 即可搞定。你也可以自己改注册表的 HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 那个键值。

附：MoveFileEx 工具：

http://download.sysinternals.com/Files/PendMoves.zip

剩下的，改天再看吧，好像还有其它一些杂七杂八的东西，应该是几个DLL。

对了，一切清理完之后别忘了在 OllyDbg 里选择调试->关闭，这样病毒进程就被系统强行终止（PspTerminateThreadByPointer，具体请参考 WRK）了，哈哈。

最后，重启。

感谢清新阳光提供样本。