杀毒记

以前的电脑病毒制造者可以说是技术黑客，其做病毒的目的多半是恶作剧软件，基本上病毒主要是拖慢你的系统，或者是删除你的文件。现在病毒制造者的基本上可 以说是流氓，他们做的病毒基本上是在一些开源的病毒（通过各种方式驻留在你的系统中）基础上，为病毒制造者创建一个可以盈利的环境。这些病毒一般都干一些盗号（QQ号，网游号，银行卡号），骗取网络点击（修改默认页，弹出网络广告等）的勾当。 

这周四晚上发现家里的机器弹出了一个很奇怪的网络广告，感觉自己的机器（Windows XP SP2）像是中毒了。对于染毒的机器，我们一般都是忍气吞声, 再不就是重装系统，可是我这次我愤怒了，今天我拿起了武器（IceSword），向流氓反击了。

这周四晚上发现家里的机器弹出了一个很奇怪的网络广告， 感觉自己的机器（Windows XP SP2）像是中毒了。于是我使用MSConfig查看，发现有陌生的程序F46082.exe在程序启动项中从"XXX「开始」菜单程序启动"启动，开始我还以为这流氓软件还挺技术水平低级的，简单删除那个可执行程序就OK了。

后来折腾了2个小时，我才知道这个程序不简单了。

我首先是尝试通过MSConfig在系统初始化的时候不初始化启动项，但是当我启动系统之后，发现那个F46082.exe序还是在“ 程序启动”目录下面，我一删除F46082.exe，这个文件又会被创建出来。于是推断现在系统中还有其他的进程正在监视这些目录。

由于我没有加载其他的服务，通过TaskMgr查看，基本的exe就只剩下explorer了， 于是我就尝试在
TaskMgr中把explorer.exe进程杀死，启动cmd.com.
哈哈这时候病毒的原形开始显露了， 我在TaskMgr中看到了两个陌生的进程ADSAL.exe和LASTSTART.exe，且在“ C:” 下面找到了这两个exe。

现在目标就比较明确了，由于时间以晚就去睡觉了。第二天上网查找这两个进程名，发现了一个有意思的事情。开始我使用的google，键入没有查出任何结果。后来使用baidu，喔，一堆网页出现了。看来这病毒也挺有中国特色啊。

简单查找之后 发现几个链接，和我所看到现象很类似于是记录下来。简单看了一下,这个流氓现在也功力不小,还有了搞垮目前比较流行的杀毒软件的能力。

129015.exe ShellExecuteHooks QQ盗号系列病毒

病毒system.jmp system.sys WinHook.sys WinHook.jmp的分析与查杀


可以确定的是这一病毒程序是通过explorer.exe加载起来的，修改注册表KEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
{B6FBB068-0684-8406-26FB-42426B0684FB}
{6FB08426-8426-FB06-26FB-426B0426FB06}

达到运行启动的目的，我们只需要清除对应的dll基本上就没又什么问题了。
C:Program FilesCommon FilesSYSTEMB6F40826.dll
C:Program FilesCommon FilesMicrosoft SharedMSINFO8426FB06.dll
C:Windowstemp2.dll

有关DLL后面的入门文章

我遇到应该是这个病毒的变种，但是基本的原理是相同的。有了上面的信息就涉及的手工删除病毒的操作了。原本想把系统启动到安全模式，通过手工删除，可无奈的 是我的机器Windows XP SP2还不能直接进入。于是就在找了一些相关工具软件的链接。

在这里强力推荐 清除流氓软件的第一利器(IceSword)
其强力的删除文件功能给我留下的很深的印象，也满足了我在不进入安全模式要删除文件的要求。

IceSword具体的使用方法

如何删除顽固文件之流氓软件篇