今日遭遇一款十全大补恶意软件两次.第一次清除花了一个半小时,第二次花了40分钟.可以预见这个病毒将会在今后一段时间内会很流行。

启动中毒机器，可发现速度极慢无法忍受,鼠标能动却无法进行任何有效操作.进入安全模式,打开c:\windows 和c:\windows\system32,可见若干安装程序图标的EXE文件十数个,病毒文件总数近200!它们安装及安装后时大量耗费CPU,内存,并强占其他各种系统资源,机器龟速便是很自然的了.打开控制面板,添加/删除程序.可以用来鉴别此十全大补的程序有:
      "安全" 这是它独特的一个.在注册表里,他们以360SAFE的名义出现，而实为流氓.
       bar888 winstdup webacce   中文上网   YAHOO助手 划词 搜索工具条
           前一段时间曾经很流行的vision communication,这次也带来了它的新变种,添加/删除程序中名字为随机名.
      pctool.dll ieshel~1.dll deskipn.dll 三个纯BHO病毒
      msprotect.sys/zstdp.sys及ntservice32.dll createdomtree.dll,charset.dll,webpageparser piaoxue/my123主页锁定病毒变种
一个出现在SRENG不常见启动项目的病毒.

因为病毒种类过多，所以我不得不动用了我利用各种工具的所有手段方法:请跟我看

请下载SRENG   ICESWORD   UNLOCKER     KILLBOX   DOS矮人工具箱抽取版 HIJACKTHIS winsockxpfix
我们依次来处理各个病毒,请看 我 的 十 五 招

1.右击"我的电脑",属性,系统还原,关闭系统还原.其实很重要,我估计有5%的病毒报告按此操作就可以祛除.

2.打开"我的电脑",进入c:\windows\system32,请随意找一个exe或DLL文件,右击,看属性，请注意其"版权"标签,这是编写此文件的公司名称,这是我们用来确认文件是否合法的重要方法

3.开始菜单运行SIGVERIF,请注意其"高级"拦目,点"查找其他........",先设置扫描类型为"*.EXE",以后再分别进行其他类型,勾选"包括子文件夹",请注意,之后扫描到的文件,保存日志先.然后分析,参考第2招,这些文件版权不是"MICROSOFT",则很可能是其他驱动或者应用程序厂商,或者是病毒文件，总之可疑待GOOGLE.位于C:\WINDOWS之内但不被列出的EXE或者DLL文件便可放心,如果文件被列出,但用第2招发现其版权为"MICROSOFT",则该系统文件已被感染,但这种情况极少出现.刚才做的扫描日志文件作为下几招的参考.

4.运行SRENG,点"系统修复","文件关联""WINDOWS SHELL""internet explorer",请分别全选并点修复,会发现原本不能打开的任务管理器,不能运行的EXE,不能运行的注册表编辑器,不能打开的文件夹选项出现了.如果你的"显示所有文件和文件夹"项总被锁定,那么请导入此文件

5.打开控制面板,添加/删除程序,确定你有用的程序,其余的,GOOGLE确认不是驱动程序后,点卸载.

                     请打开我们下载的SRENG

6.点启动项目,点"注册表"
     点击每一项,注意下面的状态栏,凡是(verified)的请放心，其他项目,请GOOGLE,如果与驱动和你安装的软件无关的,请把它前面的勾去掉,等待第10招用完后重启
     如果你已经重启:可能你发现若干项还是被勾选着,请点"删除",如果它立刻又出现，请记住它,可能有内存中的进程或者驱动正在保护它.

7.运行SRENG,点系统修复,点"浏览器加载项".
    分别点每一项,并再点详细信息,请注意其"发行者"信息,MICROSFT或者杀毒软件的就放过,其他不熟悉的公司请和文件名一起GOOGLE,以确认其合法性.其他您认为其所在文件夹没问题的,也请放过,其他的项目,描述为contextmenu的可以先放过,其他类型的一定删之,不能删除的,请参考本人此文.如果仍不能删除,请再使用完本人的前10招后重启后见分晓.

8.运行SRENG,点启动项目,点服务,分别点重新启动
    我们先点WIN32服务,它列出了一些,别着急看，点隐藏已认证的微软项目
    请依次点每一项,请注意:
　路径为rundll32.exe的服务，多半有问题，记录
　服务名为hidserv的服务如果列出来了，不必过虑．同样情况的是一个appmgmt为名的服务．
　其他所列出来的服务，请注意其版权信息,即"版本 :"的上一行,如果为kingsoft/rising或者其他GOOGLE后明显的大公司,自然可以放心,如果为N/A或者其他明显填写混乱者,所列映象文件和动态链接库文件,请GOOGLE,如果无结果或结果显示为病毒,请将其视为病毒.点该项,启动类型中,下拉设为disable,点"修改启动类型",点设置,再点"是",再点"删除服务",再点设置,这次的对话框请点"否"
    "驱动程序"
   可参考服务进行,请注意SECDRV项和TCPip项如果出现请不必过虑.

9.过滤病毒驱动有个更简便清晰的方法,右击"我的电脑",属性,硬件,驱动管理器,菜单,查看项,选"显示隐藏的即插即用设备",然后点开新出现的组,此处出现的项目不多，可以凭记忆记住,或者显示出所有项目后:
    按alt+prtsrc键,开始菜单,附件找画图,点CTRL-V,然后保存该图片文件,以后分析用
    如果以上记忆和图片法还嫌麻烦,右击每一项,查看其每一项中的驱动程序详细信息的版权信息，用来排查病毒文件，但可惜的是:我们可以从文件名的特点上发现MY123.COM变种项,但不能发现从其驱动程序文件版权信息发现它,这是我所知的唯一特例.

10.开始菜单运行MSINFO32,如果您为XP HOME家庭版用户,请针对SRENG的启动扫描生成的日志的"正在运行进程"部分进行类似操作
     运行MSINFO32成功后，请点"软件环境",加载的模块,然后请用上面的经验，分别点击"制造商"配合GOOGLE,日期(较新,尤其是中毒日期附近),寻找可疑的文件.
     当你找到可疑文件，配合CTRL键或者SHIFT键,选定它们.按ctrl-c键,开始菜单运行NOTEPAD
     右击,粘贴,只保留各个文件的路径及文件名
     然后请打开下载的KILLBOX,点"重启后删除",依次复制刚才的各文件进来，每复制一个，请点红叉.等待重启
      另外，使用ICESWORD左下角的"文件"查看功能,或者直接在"我的电脑"里,分别进入c:\windows及c:\windows\system32,右击,选查看方式为"详细资料",并按日期排列,一样可以用来排查可疑文件,可疑的请删除或移动到别处

                         重启,看看前几招找到并删除或者取消的文件或者项目还在吗,还在?我们还有别的招

11.安装UNLOCKER,然后右击病毒文件,UNLOCKER,下拉框找删除,如果不能立即删除,那么请看下面的招数.(UNLOCKER不能对付顶厉害的MY123.COM变种,病毒线程插入UNLOCKER.EXE进程,它也没办法).

12.重启,XP的滚圈出现前，一直点F8键,然后,选安全模式,如果选安全模式蓝屏或者长时间(10分钟以上)无法进入 ,先进正常模式,用SRENG的修复/高级修复/安全模式功能或者使用此文中的XP SP2安全模式补丁,打好后,再尝试进入安全模式

13.进入安全模式后，使用ICESWORD的"文件"查看功能,删除之前发现的注册表项或者文件.
      如果仍然有文件不能删除,请注意以下方法:点ICESWORD菜单里的"设置",禁止进线程建立,结束EXPLORER.EXE,然后在所剩几个进程中,右击,找模块信息,找到病毒文件模块,点强制解除.然后再尝试删除病毒文件
      如果仍有找到的病毒文件不能删除.那就得用终极招数:DOS方式

14.请看此文,使用矮人DOS工具箱抽取版进行病毒文件的绞杀.

15.各类专杀.如威金有效专杀   熊猫烧香专杀  my123.com专杀

      以上各个链接,分别来自于
          水木社区病毒版    (http://Virus.board.newsmth.net/)
          teyqiu的病毒博客(http://hi.baidu.com/teyqiu)
          瑞星公司网站       (http://www.rising.com.cn)
          及本人博客.