那天上了一个编程的网站时，突然弹出了realplay的安装信息，然后瑞星和卡卡同时报警有病毒入侵，转眼windows桌面突然刷新，刷新后瑞星和卡卡从状态栏中消失，机器变慢，从此机器变成了病毒的天下了。
上网升级了瑞星和卡卡，几次杀毒都效果不佳，转到安全模式杀一个通宵，第二天重启后，不能进入XP系统，登陆页面能显示，然而登陆后桌面打不开，任务管理器也打不开。
因为舍不得原来系统安装的众多程序和设置，决定不采用克隆覆盖C盘，于是找来启动光盘启动到DOS，然后找到原来备份在D盘的XP安装目录，进入I386目录运行setupnt.exe，启动XP系统的修复安装。
漫长安装过程后，重新回到XP桌面，瑞星和卡卡文件监视器依然不能启动(实际上大多数的著名杀毒程序都不能正常启动，因为病毒采用了映象劫持，在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]下列出的子项目可见多数杀毒软件都给屏蔽掉了，而且在病毒控制的机器上，即使把整个Image File Execution Options删除，它也会自动重新生成)，任务管理器不能打开，输入法被锁定为“关闭高级文字服务”并被锁死，开始不能在word，excel，ie中使用中文输入法，到后来整个系统都不能用中文输入了。
上网搜索了无数种手工解决方法和专杀工具，都无法清除病毒，看来杀毒软件远比病毒更新得慢，而且杀毒软件还不断的从网上下载更多的病毒程序到WINDOW和system32目录下，并设置为随系统自启动，通过msconfig可以看到，但是手工清除了，再一启动又重新生成，机器一下子百毒缠身，难以根据某个特征在网上找到合适的病毒清除方法。
由于重装了系统，用卡卡扫描漏洞，提示需要安装很多补丁，全部安装完成后重新启动后系统又不能打开了，提示SERVIES.EXE:无法定位程序输入点HTTPADDURL于动态CDFVIEW.DLL上。
实在没有耐性重新安装系统了，问同事借了一个启动U盘，启动到U盘上的window2003，进入SYSTEM32中查看，发现CDFVIEW.DLL被升级程序升级了，于是在其中备份文件夹中找回旧的CDFVIEW.DLL，复制回SYSTEM32，重启，系统又能重新进入了。
上网搜索知道原来SERVIES.EXE和CDFVIEW.DLL都是作恶的两兄弟，他们在安全模式也运行，应该是万恶之首了。想通过安全模式清除病毒是不行的，于是从同事的机器中拷贝了干净的SERVIES.EXE，services.msc，servdeps.dll和CDFVIEW.DLL，通过U盘系统复制回自己系统的SYSTEM32目录中，重启后，输入法和任务管理器终于能正常使用了。但是瑞星和卡卡监控依然不能打开，从cn_aports.exe查看系统网络端口，发现一个基于TCP连接的SVCHOST进程不断跟各种奇怪的IP通讯着，估计是下载各种病毒，即使把那个IP给屏蔽，它又访问另外一个IP,没完没了，看来不把这个特务程序清除是不行的。
通过网上下载sreng2，启动后查看系统自启动项，它就马上报警，显示AppInit_Dlls异常，被人加载了很多DLL，实际上不用sreng2，通过regedit也可以在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下看到AppInit_Dlls下有一堆键值，如下：
msosping00.dll,msosmnsf00.dll,msosdrop00.dll,nicozftp00.dll,msosdohs00.dll,msosfmsq00.dll,msosmhfp02.dll,msoscqit00.dll
手工清除不了，估计是被病毒锁死了。干脆把他们删除吧，于是重新用U盘启动，把以上DLL清除，下一狠心，把中毒当时前后所生成的文件全部从SYSTEM32中转移出去。
重启以后，发现[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]下的子项，可以清除了。可爱的瑞星监控程序又能启动了。看来大哥已被清了，赶紧清理一下剩下的马仔，启动卡卡，清除木马，进入安全模式，用瑞星重新通宵杀毒，然后启动QQ，用QQ医生扫描盗号程序，给系统打上最后的补丁。真是什么毒都有。
现在系统总算可以正常使用了，但是仗还没打完，因为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下面的AppInit_Dlls的键值始终不能清除，所以用sreng2扫描就会报警。但是至少系统回复正常的运行速度，瑞星监控能启动，就不至于在网上裸奔了。再过一段时间，再更新一下杀毒软件，可能就可以彻底清除当前的病毒了。

评论