上周末遇到一个将主页锁定为www.321so.net的广告木马，周一又见到一个类似的案例，同样是弹广告，杀毒软件失效、任务管理器打不开、不能访问杀毒厂商的网站、安全模式蓝屏、系统还原被禁用。

　　遇到这种情况时，相当多的用户会寻求专杀工具来解决，以前类似现象可以用AV终结者专杀工具解决，但遗憾的是，病毒制造和传播手段也在不断进化，黑色产业链的从业者肯定不会停滞不前，他们总能找到对付杀毒软件和专杀工具的办法。

　　系统被这样的病毒入侵是灾难性的，我敢说：这样的病毒入侵如果没有专业人员指导，99%的用户会选择重新安装。

　　说说我的鸡尾酒疗法

　　我通常会准备这几个工具：

　　毒霸急救箱——一个傻瓜化的通用的木马删除工具，很多木马我们期待用它一次扫描重启就完成木马清除和系统的修复。

　　清理专家的独立小模块，需要的可以到爱毒霸社区下载。

　　重要的组件有：

　　进程管理器——内置安全认证的进程模块分析器。

　　文件粉碎器——强制删除顽固程序模块的好工具。

　　系统垃圾清理工具——很多下载器会藏身于系统临时文件夹和IE缓存文件夹，手动删除不如这个来的快捷。

　　sreng——用来分析日志。

　　冰忍——用来分析和杀死进程。

　　XDELBOX——相当好用的重启删除工具，可以直接导入需要删除的文件列表，一次重启全部删除。

　　处置思路

　　以下工具可顺序执行，也可不分先后分别执行。

　　1.首先尝试急救箱，这是个新工具，病毒经常用来结束安全软件运行的几个方法对急救箱都是无效的，新版本也具备一定的反rootkit能力。

　　对于不是太复杂的木马入侵，急救箱一次重启就搞定的比例大约为78%。

　　今天的这个实例急救箱失败了，表现为扫描总也无法完成，扫描中该程序会崩溃掉。

　　2.急救箱程序崩溃可能是被正在运行的病毒木马干扰，解决这个问题，需要进程管理器

　　本实例中，直接运行冰刃失败，显然是被映像劫持。随机改名后运行可以启动，但迅速被关闭。类似安全工具不能直接执行的，改名是最简单的办法。

　　随便将清理专家的进程管理器改名后运行，发现有system.exe在运行，还有若干个DLL模块被判定为病毒。将这些模块全部选中后结束进程。

　　3.将sreng随机改名后执行，将分析日志导出为log文件。

　　在这个日志中发现较多异常

　　HOSTS 文件中有个仿冒QQ主页的虚假网站。

　　经检查这个98.126.33.210来自欧洲，估计是黑客抓的一台肉鸡。

　　4.利用多个工具强行删除上面那一长串DLL和危险EXE。

　　我先用了文件粉碎器，浏览了windows\system32目录，把和这些DLL是同一天生成的若干个奇怪的DLL文件和EXE文件全部粉碎(这需要经验判定，没有把握的文件可以不必删除)。把分析日志发现的可疑文件列表导入xdelbox，一次重启删除。

　　为什么要将两个工具结合使用?我的依据是，日志分析可以发现恶意软件的加载点，但对于下载器来说，也并非所有下载后的产物都会在系统启动时加载，检查windows\system32目录下的异常文件，再人为删除还是有一定的价值。

　　5.重启电脑，发现开机速度快了不少，同时有若干DLL文件加载失败的提示框弹出9 7 3 1 2 4 8 :

本文来源：赛迪网 作者：李铁军