网友写的,具体作者不详,觉得有参考,录下.

与我遇见的最强木马斗争，最终获胜

       上网的时候机器突然变慢，无法进行任何操作，我意识到中毒了，无奈重启机器。登陆后，发现
中毒现状如下：

现状

1.我用的金山杀软（防火墙、网标）全部无法启动，双击无任何反映，同时发现杀软服务以被禁止，
连IceSword也启动不了（后来发现将防火墙、网标改名也无法启动，但将IceSword.exe改名如
123.exe就能启动IceSword。这步关键）；

2.原来的显示的隐藏文件全部不见，点击文件夹选项－显示隐藏文件，依然无法显示武安部文件；同
时QQ号码被盗！

3.打开进程管理器，居然没有发现可以进程，一般的注册表启动项如
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下没有启动项

4.重启想进入安全模式，发现不能进入,看来注册表的safeboot项也被改写......

分析：
由于一时无法从进程上看到什么，就想到先让文件显示出来，按日期看看那些是病毒文件。打开
注册表编辑器，定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde
r\Hidden\SHOWALL，双击右边的CheckedValue，将0改为1，点击文件夹选项－显示隐藏文件，这下
看到全部文件了。

进入C:\WINDOWS，C:\WINDOWS\system32,让件按日期排列，发现名为85228E60.hel（估计每部
电脑生成不同的名）的文件创建时间与中毒时间一致，断定为病毒文件之一。

顺藤摸瓜。既然一般的注册表启动项发现不了病毒文件，就搜索。以85228E60（注意不要
85228E60.hel，这样会少很多）为关键字眼搜索注册表。有了，有SysWFGwd2.dll，85228E60.dll
，85228E60.dat,NewInfo.dll等，全在C:\Program Files\Common Files\Microsoft
Shared\MSINFO\里面。

然后我们的一般的想法是删掉注册表启动项，在删掉病毒文件。

斗争：

1.首先考虑进入安全模式下，那就先恢复注册表的safeboot项。我把以前备份的注册表的safeboot
项导入，重启进入安全模式。根据分析，开始删掉注册表搜索到的包含85228E60的项，例如在

HKEY_CLASSES_ROOT\CLSID\{28E68522-8522-8E60-228E-522E65228E60}\InProcServer32
@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\85228E60.dll"
"ThreadingModel"="Apartment"
含有85228E60.dll，就将28E68522-8522-8E60-228E-522E65228E60这个项都删了

同时在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options下发现360safe.exe,avp.exe，KAV32.exe，KAVPFW.exe,HijackThis.exe等项
，都在右边生成Debugger的字符窜，值为C:\Program Files\Common Files\Microsoft
Shared\MSINFO\85228E60.dat。
看来病毒能使得主流的杀软失效，秘密在这里。

2.删除病毒文件。将SysWFGwd2.dll，85228E60.dll，85228E60.dat,NewInfo.dll等文件删除。

3.重启，以为大功告成，但是发现症状依旧！

看来太小看这病毒了。经不断的研究，重启，发现，（研究了2天！）开机病毒已经驻留内存，
只要一删病毒文件，马上将内容写入注册表。这时候想到一个好办法，配合IceSword来用。（要将原
来的改名）


最终办法：

1.要保证删掉注册表项后不被驻留在内存的病毒重新写入，就要用注册表的权限。把上面的子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options用权限限制写入。
然后进入IceSword注册表（因为IceSword注册表可以删除受限的子项，而regedit不能）删除子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options下的搜索到的病毒
项。（注意，这一步最关键，一定要限制该项的写入权限。）

2.删除病毒文件。（会有几个仍删不了，重启后在删），打开受禁的金山服务。

3.重启，发现金山杀软（防火墙、网标）已经启动，在检查注册表病毒启动项、病毒文件，已经没有
了。至此结束。

后记：
　　写这么长的文字，不是要大家完全按我的一步步来作，而是要大家懂得分析的思路。因为每人的机器情况一定不同，只要按正确的思路，一定可以战胜病毒。
　　就在这片文章写完后的2个月，一个命为av终结者的木马横行网络，其特征与本文说的极为相似，而本文的思路希望可以对大家有所帮助。

制造病毒者实在可恨啊!!!