專家說：病毒更進化　非專業人士難查殺

今天有個朋友中了招，要我幫他解決下。詳細瞭解完，已經覺得這樣的病毒對於普通用戶來說，差不多算無治，重裝系統成為唯一的選擇。

現象：

朋友裝的不是毒霸，QQ遠程過去一看，他裝的殺毒軟體只剩下一個空殼，右下角系統托盤的圖標還在，安裝目錄下的文件所剩無幾，已經完全不能抵擋病毒的攻擊。

嘗試下載毒霸安裝包，雙擊一閃安裝程序就被關閉了。下載清理專家安裝包，雙擊後，發現安裝程序已經被刪除，運行冰刃、Sreng的後果一樣。還好，還能運行autoruns，隱藏微軟簽名的加載項後，發現10－20個DLL加載在Appinit，映像劫持的項發現幾乎所有安全軟體被劫持到ntsd，這個修改差不多是針對金山清理專家來的，金山清理專家會把映像劫持項完整列出，對非系統文件會報告為可疑或已提交或病毒名。而病毒用正常的程序文件來完成劫持就會被報告為安全，這樣就能躲過普通用戶的眼睛。要說這一點，應該算是金山清理專家的一個技術缺陷，已經建議研發部針對此項惡意行為升級。

使用autoruns刪除這些項是徒勞的，刪完一刷新，就發現被病毒改回來了。把那幾個安全工具改名後運行，也全部失敗。估計用Process Explorer可以解決問題，這個工具並不常用，是個不錯的進程管理器，顯示的項目也很全。

問過朋友，說中了這個病毒，進安全模式會藍屏，自己的QQ已經多次提示在別的地方登錄，顯然已經被盜。遂建議朋友試下用winpe光盤引導後，再使用Sreng或autoruns，用手工方法把病毒幹掉。朋友說沒WINPE這東西，已經失去修復系統的耐心。

最後，這台機器還是備份文檔後，重裝完事兒。

(