Mach de Bagua    

首先的首先，是两个星期前，Windows突然冒出一句话：“你的某个services产生意外错误已被关闭。”――当时全公司的电脑都出这个症状，出现以后声卡就不能用了。当时也比较忙，直到连生产线上的计算机都出这个问题了，我才去微软网站上下载了补丁。鄙视一下微软的Autoupdate, 我都打开了的了，它找到的都是两个月前的update……

眼睛清静了没两天，Noton开始报有一个叫downloader的病毒，可是即杀不掉也隔离不了。又是放任了几天，这个叫downloader的木马从网上下了好多病毒，什么彩信通，搜狗，连桌面都下了个LetsCool改掉了！真是是可忍恕不可忍阿。。。可怜我的Norton，成天徒劳的报病毒，可是都不能删除又不能隔离要它有什么用啊。我觉得Norton如果不认识那个病毒，可以理解，可是如果它都认出了病毒却杀不掉（我按Norton的指示，关闭了XP的系统还原，F8启动到安全模式，杀毒，原来杀不掉的现在还是杀不掉），只能说是没有好好编程序。其实Norton这个曾经是最大的反病毒厂商的市场份额这几年跌得很利害的，我觉得可能还是大公司病吧，原来的一些好的工程师要么升到了管理层，要么就跳了；新招员工的薪水什么的往往不好，上升空间也没有了，干活自然没动力。

说说我的杀毒过程吧。首先准备工具。
1. Unlocker. 这个工具能够找出一个文件被哪些进程使用/锁定，进而可以关闭那些进程或者解脱使用关系并删除文件。看了一下这个工具的dependency, 它是使用著名的sysinternals.com提供的一个DLL的。需要安装，安装以后增加一个右键菜单。免费。
2. Ewido Antispyware，据说是现在做得最好的反spyware软件，可以直接到ewido的网站下载免费使用一个月的版本。
3. 超级兔子个人版，免费。需安装。
4. 支持NTFS写操作的DOS启动光盘一张，我下载了一个“实创启动光盘”，这个光盘里没有显式的NTFS写支持，必须进到卡巴斯基里面，选DOS shell, 再选NTFS，才能有NTFS读写。而且这个读写对长文件名的支持还有点问题，尽量用8.3格式吧。

杀毒过程
1. 首先禁用XP的系统还原（我的电脑，右键），并在控制面板里卸载掉一些提供了反安装程序的流氓软件，比如CNNIC, 中文实名，搜狗等。运行msconfig, 把看不顺眼的启动项全关了。启动到安全模式，用Ewido杀spyware. 找到80多个项目，通通删除。重启动以后有些项目又来了。再在安全模式下用Norton杀一遍，基本没啥用。

2. 还是在安全模式下。手工搜索系统盘上最近一个月内修改过的*.dll, *.sys, *.vxd, *.exe, 并判断*.dll和*.exe所在的文件夹是不是流氓软件。如果确定是可疑的，首先在注册表里搜索文件名，把找到的相关项目都删掉(删这个要有耐心，要把那些关联的GUID相关项目顺藤摸瓜都删掉)，再删掉文件或文件夹。

3. 再重启，ewido再次扫描，提示以前一直有的的Albus.sys有毒，但是ewido杀和手工杀都杀不掉，杀掉就又冒出来。这是个驱动程序，我进注册表想把它的start改成3(Disable)，没想到一旦改成3, 按F5刷新，又变成0(boot时启动)了！看来一定还有另外一个进程hook了写注册表的API和删文件的API……找了一下，有个Albus.dll很可疑，我删掉Albus.dll，它也会再次冒出来。。。我试验用net stop Albus去停止驱动，它不干。上网找了一会，不得要领。只好自己尝试在命令行启动services.msc，禁止了一个可疑的的服务（这个服务停不掉），重起动，再去删Albus.sys和对应的所有相关注册表（它还注册了一个Legacy设备名），就可以了。再删除Albus.dll和一些其他文件。这个毒总算被干掉了。

4. 继续人眼观察注册表。把HKEY_CLASSES_ROOT\TypeLib，HKLM\SYSTEM\CurrentControlSet\Services下面的可疑项目和相关文件删除。删不掉的文件用Unlocker, 用unlocker还删不掉的，我推荐一个秘方，就是改文件名。通常删不了的文件都可以被改文件名，也是满有意思的一件事情。事实上ewido对于它不能当场删除的文件也是这样处理的，比如说abc.dll删不掉，ewido会把文件名改成_d_e_l_e_t_e_o_n_e_x_t_b_o_o_t_a_b_c_d_l_l然后在下次重启动时删除…..满变态的吧(Norton连这招都不会，残念)。
Windows有一个地方运行程序很隐蔽，就是HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost，里面分成若干个组，每个组对应若干个服务，svchost.exe会枚举这些服务并启动它们。这个地方也要清干净。

5. 以上都搞定后，世界基本清静了。。。但是每次我启动IE, 或者 Explore, ewido就跳出来说c:\programe files\netmeeting\conf.dll有IEHlpr.trojan! 删conf.dll, 删conf.dll相关的注册表项，重启动机器，conf.dll倒是真没有了，但是一启动IE, 过一会准出来。进注册表，删除所有和IEHlpr有关项目，删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\下面所有项目，问题仍然。 真是火大，我把C:\windows\explore.exe改了名字再重启动，看看会怎么样。没有了explore.exe的windows还可以登录，但是一直维持在一个空白状态，三键组合倒是可以唤出Task manager, 看到有一个叫ijem.exe的程序在运行。。。

有问题！用支持NTFS的DOS盘启动把explorer.exe改回来，进安全模式，硬盘查找，在C:\Windows\system32\crypto\下面找到了ijem.exe…文件时间和其它的windows文件都一样，一时间犹豫不敢删，上网也找不到这个ijem.exe的信息，看来是个随机名字。。。 还是要看注册表，在我狂翻注册表之后被我看到一个可疑项目:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
居然键值是
C:\WINDOWS\system32\userinit.exe, C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\ijem.exe
崩溃。。。原来Windows还有这个地方可以启动程序啊，居然所有的杀毒软件，包括魔法兔子都不管这里的。把逗号和逗号后的内容删除，再次删除conf.dll和相关注册表项。再启动，这次世界真是清静了。

以上，是我的注册表和资源管理器一日游。