在殺毒之前大家最好有3件武器在手，第一：hjackthis ，掃描系統(tǒng)之利器。第二：可以修改文件關(guān)聯(lián)的軟件，我用的是 全能助手Windows優(yōu)化王 ，它不只能修復(fù)文件關(guān)聯(lián)的問題，它還有很多其他的功能，是一款不錯的軟件。第三：系統(tǒng)進程監(jiān)視的軟件，這里推薦大家用 IceSword ，不但可以發(fā)現(xiàn)隱藏的系統(tǒng)進程，還可以監(jiān)視系統(tǒng)進程的創(chuàng)建。好了，如果3件武器都有了，那么我們就可以殺毒了。


這個病毒，我研究了一下，最主要的文件就是 MSWDM.EXE 。我沒有研究它的原代碼，但是所有的病毒的產(chǎn)生都是由它一手造成的。如果是windows XP 系統(tǒng)，那么在 c:\windows\system32 下能找到它。 2000系統(tǒng)的話，在 c:\winnt\system32 下能找到它。

這個病毒可以說無所不用其極，它修改可執(zhí)行文件的關(guān)聯(lián)，還修改HOSTS文件，將大多數(shù)門戶網(wǎng)站修改為一個固定IP，在后臺啟動 IE 瀏覽器做鬼鬼祟祟的事情。

在殺毒之前大家最好有3件武器在手，第一：hjackthis ，掃描系統(tǒng)之利器。第二：可以修改文件關(guān)聯(lián)的軟件，我用的是 全能助手Windows優(yōu)化王 ，它不只能修復(fù)文件關(guān)聯(lián)的問題，它還有很多其他的功能，是一款不錯的軟件。第三：系統(tǒng)進程監(jiān)視的軟件，這里推薦大家用 IceSword ，不但可以發(fā)現(xiàn)隱藏的系統(tǒng)進程，還可以監(jiān)視系統(tǒng)進程的創(chuàng)建。好了，如果3件武器都有了，那么我們就可以殺毒了。

首先，清除我上篇文章里說的各種文件，如果有個別清除不了的，用hjackthis 1.99.1版本里帶的KillBox清除之。

然后，修改可執(zhí)行文件的關(guān)聯(lián)，有一個文件叫 EXERoute.exe ，正常的系統(tǒng)是沒有它的，如果大家在c:\winnt 或者c:\windows 下發(fā)現(xiàn)它，就說明你的可執(zhí)行文件關(guān)聯(lián)被它修改了，用優(yōu)化王或者其他的軟件修改過來。如果大家手頭沒有這樣的軟件，可以通過注冊表直接修改過來，路徑如下：[HKEY_CLASSES_ROOT\exefile\shell\open\command]

病毒將它修改成@="\"EXERouter.exe %1\" %*"

正確的值應(yīng)該是：
@="\"%1\" %*"

大家在殺毒的時候一定要將icesword打開，顯示系統(tǒng)進程，隨時刷新，如果看到有可疑進程立刻結(jié)束。

這個病毒在進程里常出現(xiàn)的進程就是 foxrar.exe 和 IEXPLORE.exe 這兩個。他們都是隱藏的，不用類似icesword這類的軟件是不能發(fā)現(xiàn)的。

最后，將注冊表里的病毒啟動項目全都用 hjackthis 修復(fù)。觀察一下 c:\winnt\temp 或者 c:\windows\temp 下是否自動生成擴展名為tmp的文件。

補充：在上一篇我忘了還有一些病毒文件的名字。 

1.com ：  在c:\winnt 或者 c:\windows 下 。

EXERouter.exe ： 在c:\winnt 或者 c:\windows 下。

WINLOGON.exe ： 在c:\winnt 或者 c:\windows 下。

還有一些病毒文件的名字，我記不清了，一會我在感染一下病毒，把這些名字都記錄在案，給大家發(fā)上來。