这是流氓会武术，谁也挡不住啊。从另外一方面想，我不让病毒随机器启动运行也行。msconfig，查看系统服务和启动。在系统服务中隐藏掉微软服务，将那些服务禁止掉。启动里面，清理调未知的。重启，尝试删除那两个文件，依然再生，看来，病毒建立了驱动或者服务了，那需要工具了－－SRENG。软件我就不介绍了，很好的工具。（只是我给作者反馈信息不理我，抑郁啊。）运行后，查看启动项，可以发现AppInit_DLLs被大量修改，还有就是Image File Execution Options中大量安全软件被处理，所以大部分的杀软无法启动了。

     AppInit_DLLs AppInit_DLLs 是启动项是初始化动态链接库 ，但是有病毒通过修改AppInit_DLLs来执行 ，通过修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]键值来插入病毒. 让病毒在安全模式下也能运行。   Image File Execution Options，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options，病毒通过修改该处键值，实现误导某些可执行程序的路径。比如说，在这个下面添加一个360safe.exe，然后将其键植改为virus.exe，那么我们在运行360safe时，实际上执行的是virus.exe！这个叫映像劫持！通常被病毒利用来阻止杀毒软件的运行。   通常病毒实现随系统启动的办法除了上面提到的两种方式,还有: 1、注册表项：RUN 2、注册表项：Userinit 3、作为服务启动 4、作为驱动启动

　　 　　   这里就可以找到那些文件，一个一个的DEL。本来想那么作，后来没有，我想，这些事情还是交给杀软去做吧。用SRENG按shift连续选择，将他们给del掉。删了，乖乖，刷新后还有，难道病毒会重写回去呢。放弃，我想还是得用杀毒软件来杀了，我尽力了。

          无意间，我查看了下SRENG扫描出来的日志，我发现一些可疑的东西，==================================
    正在运行的进程
    [PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 1456 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\system32\mdimon.dll]  [Microsoft Corporation, 11.3.1897.0]
        [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll]  [Microsoft Corporation, 11.3.1897.0]
    [PID: 1676 / SYSTEM][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE]  [Microsoft Corporation, 7.00.9466]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll]  [Microsoft Corporation, 7.00.9466]
    [PID: 1732 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe]  [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 364 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\System32\HBDNF.dll]  [N/A, ]
    [PID: 480 / SYSTEM][C:\WINDOWS\TEMP\32656.txt]  [N/A, ]
        [C:\WINDOWS\TEMP\textfont.dat]  [N/A, ]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\TEMP\WowInitcode.dat]  [N/A, ]
    [PID: 1088 / Administrator][C:\WINDOWS\system32\wonlinsk.exe]  [N/A, ]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 1240 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\system32\appwinproc.dll]  [N/A, ]
    [PID: 252 / Administrator][C:\WINDOWS\system32\conime.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\system32\appwinproc.dll]  [N/A, ]
    [PID: 1216 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREngLdr.EXE]  [Smallfrogs Studio, 2.7.0.1210]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 428 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREb2cb0ef4.EXE]  [Smallfrogs Studio, 2.7.0.1210]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\Documents and Settings\Administrator\桌面\sreng2\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]
        [C:\WINDOWS\system32\appwinproc.dll]  [N/A, ]
    [PID: 1908 / Administrator][C:\WINDOWS\explorer.exe]  [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\system32\appwinproc.dll]  [N/A, ]

    这个日志比以前的日志好看多了，以前的日志每个进程的dll链接库一大排，看得眼晕。

     很多安全工具都有扫描日志功能。通过查看各个进程调用的DLL动态连接库，来确定那一些是非正常的dll。比如说厂商，路径。

    几乎每一个进程都有一个DLL文件：HBDNF.dll！估计这个文件有鬼。我要删掉他，但大部分的进程都在使用那个文件，如何是好？对了，有一个工具：unlocker！下载，运行，接锁进程，依然删不掉，但是有一个选择，重启后删除。那就重启后删除吧

      如果文件正在被使用，是无法删除的。方法有一些： 1、利用工具软件，很多，unlocker，文件粉碎器等一些删除文件的工具。 2、DOS下删除。 3、修改文件的NTFS权限，阻止所有人访问。 4、XCOPY替换。等等

    重启后，再次运行SRENG，删除Image File Execution Options，删了依然还有，但我发现新出来的项和刚删除来的不一样，估计是SRENG没有将所有的都显示出来？不管了，再删吧，重复了5 ，6遍，终于删完了。接下来的事情，就是下载杀毒软件来查杀了。（如果不删除Image File Execution Options，这些杀软是无法运行的。）

   手杀软件还是很辛苦的，有很多病毒会下载大量的木马，那一个个删费事费力，最终还是要使用杀毒软件来处理。要让杀毒软件跑起来，那就得把那些阻扰杀软运行的障碍清除掉。推荐在安全模式下运行杀软

    完，也许语句组织的不好，因为病毒给杀掉了后才做的，也没截图，见谅见谅。为什么用NOD?免费半年。。。

   

9 7 3 1 2 4 8 :