以前提过，为了绑定主页来赚钱，那些木马的招数越来越多、狡猾和下功夫。

而且继多年前的飘雪之后，又开始动用.SYS

这次肇事的是7421.CN。

病毒文件：

c:\windows\system32\dfyt.dll

c:\windows\system32\drivers\dmfng.sys

瑞星发现但无法清除，360则完全没有发现。ICESWORD蓝屏，用WINDOWS PE解决。

      朋友机器，EXPLORER.EXE进程自动手动不能启动，而且有明显症状：跳出窗口“网络初始化失败，点击确定后程序将退出”，

于是推测为网络协议有问题，用WINSOCKXPFIX修复之，问题解决。

    360safe是款还不错的工具，性能的优异成为木马的眼中钉。

    经常发现安装过了360SAFE后，却没有反应或者只跳出一个错误对话框。

    但是相对来说，每次成功拯救了360之后，心中也有不小的欣喜。

   针对360的招数：

1.流氓软件们的反击
　到控制面板里卸载它们吧：雅虎助手，中文上网之流

2.ifeo劫持
    可以使用SRENG手工清除，或者使用金山的AV终结者专杀或者360自己的U盘病毒专杀来处理.

3.mfc42.dll假文件夹
    控制台下，进入360安装文件夹，rd mfc42.dll /q /s解决问题

4.病毒（那个经久不衰的随机字母数字名的服务）
用SRENG找出，killbox重启删除这个讨厌的EXE就可以了

5.病毒（驱动方式的，具体名字不记得了）
   使用SRENG过滤出可疑驱动，用killbox或者XDELBOX之类的工具删除之。

         一台机器，报告说一炒股软件出现奇怪的字体问题，有些字体不能显示，全变为方框。（某汉化版killbox中的字体也有此问题）

         经查，机器里有mfc42.dll恶意程序和*pri.dll *door?.dll及其它常见的木马组合。用360的专杀及360清理后重启，仍然有字体问题，且启动后有USERINIT.exe崩溃的对话框。

        用SIGVERIF一查USERINIT，不能通过验证。于是远程登录到另一台机器将正常文件拷贝过来，到DOS下覆盖，问题消失。
        时间仓促，竟忘记抓取样本，不过多半是硬盘数据突发的数据错误吧。

       狗不得艾滋，人能得，所以狗比人更好?

天天听人说FIREFOX比IE安全云云。

坚持天天用IE，偶尔用SAFARI,因为它的字体渲染看着很舒服。

局域网内，购买安装一套卡巴斯基.

其他机器，只需使用远程桌面登陆,不过在<选项>,<本地资源>中，要把本地驱动器钩选好

登陆后，使用卡巴斯基的扫描功能，<添加>,在<我的电脑>里将\\tsclient\c等分区加入,即可以检测和杀除本机病毒了。

这样的扫描对本机的资源占用是很低的，卡巴也不卡了。普通模式下无法杀除的病毒，可以进入带网络的安全模式，选否不运行explorer.exe,使用任务管理器运行mstsc直接进行登陆。

如果网内有台闲置机器,还真不如以上方法加以利用.(当然在装卡巴的机器上做好网络硬盘映射,然后利用卡巴斯基的扫描所有网络硬盘功能来杀毒也可以,但如此一来，病毒也会有机会感染网络硬盘内的文件)

更爽的是，一边用杀毒机为当前中毒机器杀毒，一边又登陆到自己的机器编程，感觉实在不错，不用浪费自己的时间了。

HIJACKTHIS和SRENG日志可能暴露我们哪些隐私？

1.是笔记本还是台式机:笔记本一般都有一大堆特有的启动项、服务、驱动
2.使用什么CPU,显卡，打印机：见启动项，服务或驱动项
3.几个分区：前提是中了auoturn.inf类感染了所有分区的病毒。
4.使用什么操作系统，直接看日志前几行或者通过启动项和服务的不同。
5.使用什么软件，比如输入法，杀毒软件，IM,虚拟光驱，下载软件等
6.中的什么毒。
7.姓名：有的人用户名就是自己的名字
8.电脑使用水平，习惯。
9.地理位置：hijackthis会暴露你的DNS，很可能因此别人知道你的大概位置。

也可以用来病毒启动，

病毒利用修改IFEO下explorer.exe的debugger子项值为netdde32.exe就可以实现自己的启动。(与之有关的病毒资料，请baidu NETDDE32.EXE即可）

另：最近流行的ARP及十全大补型病毒和威金勾搭起来，清理起来累死牛。幸好江民的威金专杀不错，使用它清理后再用其他工具清理是要旨。

从以前病毒版的回馈来看，ARP病毒中毒率还是不低的。

现在各大论坛网站纷纷报告大网站被挂马的事情，我怀疑和我此文中提起的局域网内ARP病毒有关。即并非网站被挂马，而是本地局域网内有中毒机器所致。

预计这个（批）病毒会在最近成为讨论热点哦。

前天一个同事A小姐，请我去，说机器问题，我就KAKAKA忙了半天，清理好了，我满意得走了

她又请我，说OFFICE打不开，我就拿盘给她装了。

结果，同屋的一位同事今天给我说，你也有搞定不了的问题啊，我说，那是当然，他又说，小A机器问题出了一个星期了，把你找去吧，问题也没解决。我说，那也非常正常。

闲下来，我就打电话给A，说到底什么问题啊，病毒问题我有把握解决啊。伊才终于说道“输入法出不来了啊，我以为那么显眼，你肯定看到了，结果你没弄，我也没好意思说”

我还真没注意到她的输入法问题，下班前去了一看，重启后发现ctfmon.exe不出现，无法方便得切换输入法，任务管理器运行，还是不出现。我立刻联想到了，IFEO hijack(映象劫持)，不过她的机器不能上外网，一时又记不得要修改哪些注册表项，我就用了另外一个简单方法，把ctfmon.exe拷贝一份名为a.exe,然后修改注册表启动项使其指向a.exe，重启问题解决啦

今日遭遇一款十全大补恶意软件两次.第一次清除花了一个半小时,第二次花了40分钟.可以预见这个病毒将会在今后一段时间内会很流行。

启动中毒机器，可发现速度极慢无法忍受,鼠标能动却无法进行任何有效操作.进入安全模式,打开c:\windows 和c:\windows\system32,可见若干安装程序图标的EXE文件十数个,病毒文件总数近200!它们安装及安装后时大量耗费CPU,内存,并强占其他各种系统资源,机器龟速便是很自然的了.打开控制面板,添加/删除程序.可以用来鉴别此十全大补的程序有:
      "安全" 这是它独特的一个.在注册表里,他们以360SAFE的名义出现，而实为流氓.
       bar888 winstdup webacce   中文上网   YAHOO助手 划词 搜索工具条
           前一段时间曾经很流行的vision communication,这次也带来了它的新变种,添加/删除程序中名字为随机名.
      pctool.dll ieshel~1.dll deskipn.dll 三个纯BHO病毒
      msprotect.sys/zstdp.sys及ntservice32.dll createdomtree.dll,charset.dll,webpageparser piaoxue/my123主页锁定病毒变种
一个出现在SRENG不常见启动项目的病毒.

因为病毒种类过多，所以我不得不动用了我利用各种工具的所有手段方法:请跟我看

请下载SRENG   ICESWORD   UNLOCKER     KILLBOX   DOS矮人工具箱抽取版 HIJACKTHIS winsockxpfix
我们依次来处理各个病毒,请看 我 的 十 五 招

1.右击"我的电脑",属性,系统还原,关闭系统还原.其实很重要,我估计有5%的病毒报告按此操作就可以祛除.

2.打开"我的电脑",进入c:\windows\system32,请随意找一个exe或DLL文件,右击,看属性，请注意其"版权"标签,这是编写此文件的公司名称,这是我们用来确认文件是否合法的重要方法

3.开始菜单运行SIGVERIF,请注意其"高级"拦目,点"查找其他........",先设置扫描类型为"*.EXE",以后再分别进行其他类型,勾选"包括子文件夹",请注意,之后扫描到的文件,保存日志先.然后分析,参考第2招,这些文件版权不是"MICROSOFT",则很可能是其他驱动或者应用程序厂商,或者是病毒文件，总之可疑待GOOGLE.位于C:\WINDOWS之内但不被列出的EXE或者DLL文件便可放心,如果文件被列出,但用第2招发现其版权为"MICROSOFT",则该系统文件已被感染,但这种情况极少出现.刚才做的扫描日志文件作为下几招的参考.

4.运行SRENG,点"系统修复","文件关联""WINDOWS SHELL""internet explorer",请分别全选并点修复,会发现原本不能打开的任务管理器,不能运行的EXE,不能运行的注册表编辑器,不能打开的文件夹选项出现了.如果你的"显示所有文件和文件夹"项总被锁定,那么请导入此文件

5.打开控制面板,添加/删除程序,确定你有用的程序,其余的,GOOGLE确认不是驱动程序后,点卸载.

                     请打开我们下载的SRENG

6.点启动项目,点"注册表"
     点击每一项,注意下面的状态栏,凡是(verified)的请放心，其他项目,请GOOGLE,如果与驱动和你安装的软件无关的,请把它前面的勾去掉,等待第10招用完后重启
     如果你已经重启:可能你发现若干项还是被勾选着,请点"删除",如果它立刻又出现，请记住它,可能有内存中的进程或者驱动正在保护它.

7.运行SRENG,点系统修复,点"浏览器加载项".
    分别点每一项,并再点详细信息,请注意其"发行者"信息,MICROSFT或者杀毒软件的就放过,其他不熟悉的公司请和文件名一起GOOGLE,以确认其合法性.其他您认为其所在文件夹没问题的,也请放过,其他的项目,描述为contextmenu的可以先放过,其他类型的一定删之,不能删除的,请参考本人此文.如果仍不能删除,请再使用完本人的前10招后重启后见分晓.

8.运行SRENG,点启动项目,点服务,分别点重新启动
    我们先点WIN32服务,它列出了一些,别着急看，点隐藏已认证的微软项目
    请依次点每一项,请注意:
　路径为rundll32.exe的服务，多半有问题，记录
　服务名为hidserv的服务如果列出来了，不必过虑．同样情况的是一个appmgmt为名的服务．
　其他所列出来的服务，请注意其版权信息,即"版本 :"的上一行,如果为kingsoft/rising或者其他GOOGLE后明显的大公司,自然可以放心,如果为N/A或者其他明显填写混乱者,所列映象文件和动态链接库文件,请GOOGLE,如果无结果或结果显示为病毒,请将其视为病毒.点该项,启动类型中,下拉设为disable,点"修改启动类型",点设置,再点"是",再点"删除服务",再点设置,这次的对话框请点"否"
    "驱动程序"
   可参考服务进行,请注意SECDRV项和TCPip项如果出现请不必过虑.

9.过滤病毒驱动有个更简便清晰的方法,右击"我的电脑",属性,硬件,驱动管理器,菜单,查看项,选"显示隐藏的即插即用设备",然后点开新出现的组,此处出现的项目不多，可以凭记忆记住,或者显示出所有项目后:
    按alt+prtsrc键,开始菜单,附件找画图,点CTRL-V,然后保存该图片文件,以后分析用
    如果以上记忆和图片法还嫌麻烦,右击每一项,查看其每一项中的驱动程序详细信息的版权信息，用来排查病毒文件，但可惜的是:我们可以从文件名的特点上发现MY123.COM变种项,但不能发现从其驱动程序文件版权信息发现它,这是我所知的唯一特例.

10.开始菜单运行MSINFO32,如果您为XP HOME家庭版用户,请针对SRENG的启动扫描生成的日志的"正在运行进程"部分进行类似操作
     运行MSINFO32成功后，请点"软件环境",加载的模块,然后请用上面的经验，分别点击"制造商"配合GOOGLE,日期(较新,尤其是中毒日期附近),寻找可疑的文件.
     当你找到可疑文件，配合CTRL键或者SHIFT键,选定它们.按ctrl-c键,开始菜单运行NOTEPAD
     右击,粘贴,只保留各个文件的路径及文件名
     然后请打开下载的KILLBOX,点"重启后删除",依次复制刚才的各文件进来，每复制一个，请点红叉.等待重启
      另外，使用ICESWORD左下角的"文件"查看功能,或者直接在"我的电脑"里,分别进入c:\windows及c:\windows\system32,右击,选查看方式为"详细资料",并按日期排列,一样可以用来排查可疑文件,可疑的请删除或移动到别处

                         重启,看看前几招找到并删除或者取消的文件或者项目还在吗,还在?我们还有别的招

11.安装UNLOCKER,然后右击病毒文件,UNLOCKER,下拉框找删除,如果不能立即删除,那么请看下面的招数.(UNLOCKER不能对付顶厉害的MY123.COM变种,病毒线程插入UNLOCKER.EXE进程,它也没办法).

12.重启,XP的滚圈出现前，一直点F8键,然后,选安全模式,如果选安全模式蓝屏或者长时间(10分钟以上)无法进入 ,先进正常模式,用SRENG的修复/高级修复/安全模式功能或者使用此文中的XP SP2安全模式补丁,打好后,再尝试进入安全模式

13.进入安全模式后，使用ICESWORD的"文件"查看功能,删除之前发现的注册表项或者文件.
      如果仍然有文件不能删除,请注意以下方法:点ICESWORD菜单里的"设置",禁止进线程建立,结束EXPLORER.EXE,然后在所剩几个进程中,右击,找模块信息,找到病毒文件模块,点强制解除.然后再尝试删除病毒文件
      如果仍有找到的病毒文件不能删除.那就得用终极招数:DOS方式

14.请看此文,使用矮人DOS工具箱抽取版进行病毒文件的绞杀.

15.各类专杀.如威金有效专杀   熊猫烧香专杀  my123.com专杀

      以上各个链接,分别来自于
          水木社区病毒版    (http://Virus.board.newsmth.net/)
          teyqiu的病毒博客(http://hi.baidu.com/teyqiu)
          瑞星公司网站       (http://www.rising.com.cn)
          及本人博客.

(1)
EXPLORER.exe被删除,注册表有关项被修改
参见sreng软件中有关userinit\shell的两项,使用深山红叶等工具进行注册表修复
(2)
yok.com流氓软件原因
安全模式下使用ICESWORD删除c:\windows\system32\tykeeper.sys,再用SRENG删除所有含yok的项
(3)名为parite.a的EXE感染病毒
网络找专杀，或者安全模式下删除原来的EXE文件.重装所有应用程序,
(4)
暴风影音的stormhelper.exe启动项造成
使用SRENG或者MSCONFIG去掉该启动项
(5)
不明;应为多个流氓软件冲突结果
开机启动时,一直按F8键,选"上次起作用的正确配置"
(6)
比较流行的wsctf.exe,因为与它同时存在的c:\windows\system32\explorer.exe,原本用来替换系统c:\windows\explorer.exe,但因为特殊情况,病毒explorer.exe出现问题，导致启动时被锁死
解决方法,结束现有的explorer.exe,运行"c:\windows\explorer.exe",用SRENG等工具修改启动项.
(7)
IFEO映像劫持explorer.exe项导致
(8)
微软补丁的问题,请参考此文
应该已经是过去时,不会再困扰谁,但也许你会遇到.

今天因为微软一个不成功的补丁，耗费了我一个半小时。
一台机器，启动到桌面时失去响应，必须任务管理器结束explorer.exe，再创建，才能正常使用，一直按照病毒思路走，结果SRENG里去掉所有非系统启动项，SFC /scannow验证了所有系统文件也都没有被感染，按理说是病毒怎么也应该没有启动机会了，结果我的N套方法，SRENG/HIJACKTHIS/ICESWORD用了N遍，重启N遍，几乎失去信心时，要重装了。

终于一不小心在任务管理器中看到一个进程一闪而过，v开头的，于是打开ICESWORD的重启后监视功能，发现了她的踪迹，我可以信心满满的立刻说它是系统进程，所以，GOOGLE一下吧，果然，第一页就告诉了我正常答案：她，verclsid.exe，和一个微软承认有问题的补丁有关：KB908531,卸载之，重启果然问题解决
经水木社区病毒版主SIHECUN提醒，可以重新下载该补丁，微软已重新发布：http://www.microsoft.com/china/technet/security/bulletin/MS06-015.mspx