日记：大战10个回合 干掉成堆的木马和流氓软件

9月3日              星期六             晴、微风

大早起来启动笔记本电脑，一个名字很奇怪的程序，要求得到瑞星防火墙的通过许可。由于最近两三天并未手动安装任何的外来程序，立即拒绝了该程序队网络的访问要求。

第一次查杀：4个流氓软件和3个可疑程序

互联网的环境实在是糟糕透顶，流氓横行病毒肆虐。我第一感觉是“又中了流氓软件的招了”，赶紧打开超级兔子查杀。果真如此：在系统中查找到4个软件，属于超级兔子可以杀灭的流氓软件之列。ShdocvwHlp、ADPlus/MSPlus、通用搜索、Grandsoft。

通用搜索roogoo.com已经被不少为网友和恶意软件清理程序列为“新一代的流氓软件”之一，ADPlus/MSPlus也可以从名字上看出来是个广告插件，不知道何时，这几位老大开始进驻到了我的电脑中，我一直没有感觉到。

超级兔子还报告，在硬盘中找到以下可疑程序：

C:\WINDOWS\MSHOST.EXE

C:\WINDOWS\Config\SVHOST32.EXE

c:\program files\internet explorer\1sy.exe

看到svhost32.exe头脑中轰的一下，预感到这次中的麻烦大了，这个名字在杀毒厂商最近预报的几个木马变种中都有提到。1sy.exe这个就更离谱了，放在explorer目录的名下，微软怎么会给程序命这样的名字呢？至少可以肯定是一些写的很垃圾的程序说产生的文件。

既然兔子发现了这些，赶紧用清理功能把这些都清理了。

第二次查杀：木马克星杀敌未遂身先死

既然电脑中发现了svhost32.exe，我怀疑已经被人中下了木马。

安装木马克星之后，赶紧打开查杀木马，木马克星报出了一大堆的文字提示，我还没来得及看明白，突然自动关闭。

  再试，木马克星已经无法打开了，看来是被某个木马程序或者恶意软件给干掉了。木马克星杀敌未遂，先被流氓给干掉了，然后就再也无法启动了。

    第三次查杀：不知不觉中，瑞星防火墙被干掉了

    发现木马克星不能使用之后，赶紧重新启动电脑。再次打开超级兔子升级到最新版本再查，这次糗大了。

    我电脑中被发现的可疑程序非但没有减少，反而大大的增加，感觉这些像木马病毒似的繁衍出了很多变身。

    超级兔子提示在硬盘中找到以下可疑程序：

C:\WINDOWS\WINLOGON.EXE

C:\WINDOWS\EXPLORER.COM

C:\WINDOWS\system32\RUNDLL32.COM

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\REGEDIT.COM

c:\windows\1.com

c:\windows\exeroute.exe

c:\windows\finder.com

c:\program files\internet explorer\iexplore.com

c:\program files\common files\iexplore.pif

c:\program files\microsoft\svhost32.exe

c:\program files\microsoft\svhost32.exe

超级兔子还提示，我的电脑又被3种流氓软件插上：159定向搜索、npf、Kmedia。

超级兔子杀过之后，心想又赶紧请出360安全卫士，查杀这些恶意的流氓软件。

第四次查杀：360安全卫士无法打开，重新安装仍然如此

此时360安全卫士已经无法打开，重新在官方网站下载安装之后，仍然如此。

第五次查杀：系统仍有多个不明文件，超级兔子提示没有任何发现

用超级兔子查杀木马和恶意软件提示“没有任何发现”，但是发现系统仍有多个不明文件，这个图是C盘根目录的截图，凭直观感觉名称为1和down的文件绝对值得怀疑。

    第六次查杀：升级瑞星防火墙，但是启动选项无法禁止流氓开机自动启动

    升级瑞星防火墙，但是启动选项无法禁止流氓开机自动启动。而且我系统根本没装realplayer播放器，启动的进程中却出现了两个“realplayer”，而且图标也不是realplay的图标。图中红色的几个选项也都是恶意软件的变身。

    另外，优化大师也无法没法将其从启动项删除，总有一个删不掉。而真正的realplayer是可以从启动项删除的。

   第七次查杀：木马防线2005+查出48个木马病毒

    [1]
    病毒名称 = Trojan-Downloader.Win32.Delf.aud
    文件名 = C:\DOCUME~1\刘阳\LOCALS~1\Temp\CCG0.exe

    [2]
    病毒名称 = Trojan-PSW.Win32.WOW.at
    文件名 = C:\WINDOWS\WINLOGON.EXE

    查看木马防线所查出的48种木马病毒列表>>>>

    木马发现查杀的同时，打开了同是该产品配套的“安天盾防火墙”。

    第八次查杀：360安全卫士找出U88和7939.com两个流氓

    木马防线清理过之后，360安全卫士又可以使用了。安全卫士查出了两个恶意软件，原来“realplayer”文件名是7939.com这个大流氓的变身。

    U88财富快车 - C:\Program Files\Common Files\UPDATE

 7939.com - C:\WINDOWS\system32\REALPL~1.EXE

 第九次查杀：瑞星“橙色八月”专杀工具提示两个疑似

不放心电脑是不是已经杀干净，到瑞星网站下载了“橙色八月”专杀工具，查完提示，有两个疑似病毒。但是该工具提示使用瑞星杀毒软件可以杀。

第十次查杀：重新启动，进入安全模式再次查杀

 重新启动电脑，进入安全模式，用之前使用过的几款软件再次查杀一遍。“橙色八月”专杀工具仍然提示有两个疑似，但是瑞星杀毒软件提示并未插到，而其它软件也没有什么发现。

天知道我的电脑是不是干净了,至少我已经不相信它是干净的。

到此，我已经无力再赘述什么，只是想请认识那些木马、病毒和流氓软件的作者，问候祖宗十八代，愿它们……（注意是“它们”，估计有不少中招的朋友已经在心中问候过作者无数次了，此处省略的字样包括“断子绝孙”、“全家下地狱”等等800字） （网易科技 刘阳/文）