我们一起来看看这个流氓吧，可花了我几个小时的时间啊．

1.病毒运行后，会释放以下文件：
%system32%\Com\SMSS.EXE
%system32%\Com\lsass.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe
各盘符下隐藏的autorun.inf,pagefile.pif（这个autorun.inf较特殊，后面讲)，如果不注意，即使你重装系统也没用。

2.症状：
(1)禁用了文件选项的显示隐藏文件
(2)该病毒具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截，诸多安全工具无法打开，如Icesword,Arswp,360,瑞星和它的防火墙脚等等
(3)破坏安全模式，进入就蓝屏，该病毒会不断修改注册表，使一些安全工具无法修复安全模式
(4)病毒删除注册表中的RUN项
(5)启动IE连接恶意站点下载恶意脚本
(6)利用%system32%\drivers\alg.exe对局域网实行arp攻击

3.我的手工清除方法
清除此毒就别指望杀毒软件能帮你了，rising，kaba都是不可用的，卡卡助手几乎没用，还是手动吧。
因为该病毒比较强悍，我比较喜欢用的经典工具icesword每打开就会被病毒强行关闭，于是我下载一些其它的进程管理工具，尝试去结束%system32%\Com\SMSS.EXE  %system32%\Com\lsass.EXE  %system32%\drivers\alg.exe,结果是令人失望的，结束后病毒很快再生，并在C盘D盘下产生大量垃圾进程，有时候还会将计算机强行关闭，我认为此病毒在windows下清除是非常难的，安全模式也被病毒破坏，这招也不行，于是想到如下办法：
一、我各盘符均为NTFS，于是下载支持NTFS格式的dos（比如矮人，Maxdos等），进入后用attrib命令去掉各病毒文件的只读、隐藏、系统属性。
attirb -s -h -r c:\windows\system32\com\lsass.exe
attirb -s -h -r c:\windows\system32\com\netcfg.dll
attirb -s -h -r c:\windows\system32\com\netcfg.000
attirb -s -h -r c:\Docume~1\用户名\「开始」菜单\程序\启动\~.exe
attirb -s -h -r c:\windows\system32\drivers\alg.exe
attirb -s -h -r c:\windows\system32\dnsq.dll
attirb -s -h -r X:\autorun.inf (注意:X盘为你的每一个盘符)
attirb -s -h -r X:\pagefile.pif
显示出来后再将它们全部del掉，如果有一处没有del掉的话，那么你重新启动计算机后病毒又会死灰复燃，所以一定要仔细了。

二、由于我在用方法一的时候不仔细，漏del了c:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe这个程序，其实这是最明显的一个地方，我确漏了，导致每次开机后症状依旧，想了很久也没想到病毒是到底如何启动的，呵呵，于是想到方法二，就是用winPE(深山红叶工具箱),此工具就是从模拟winXP系统,绕过了原系统，非常不错，进入后先清除方法一中的病毒文件，然后估计电脑大概中毒时间搜索C盘在这一时间内创建的.exe .dll .sys文件，才找出了c:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe这个原本最明显的文件,^_^,完毕后重启，再试一下icesword,arswp,rising,360均能正常运行了，最后用arswp或者360打扫一下注册表中的垃圾文件，修复安全模式，修复安全模式的方法可以从网上下载注册表导入，也可以找一些专业工具，baidu上可以搜到，此次清理总算结束。




补充：我来说说这个特殊的Autorun.inf，为什么说它特殊，因为它和传统的Autorun.inf不同，在盘符上右击看不出任何蛛丝马迹，迷惑性较大，来看看内容。

[autorun]
OPEN=pagefile.pif
shellopen=打开(&O)
shellopenCommand=pagefile.pif
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=pagefile.pif

这样写的作用就是当你双击盘符时会运行 pagefile.pif ，右键选择“打开”还是“资源管理器”病毒也会运行，强吧，所以各位手工杀毒爱好者今后一定要注意了。别以为右键打开盘符就没事了，呵呵。


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ ; Mozilla/4.0(Compatible Mozilla/4.0EmbeddedWB- 14.59  from: http://bsalsa.com/ )

【回复“小秋哥”的帖子】
顶你一下!

不错

支持一下

学习

这个病毒的确复杂，我重装系统后也是用右键进入其他盘，吃了大亏。
是不是因为这个病毒复杂，我在上报该病毒后，居然等了3天，国内3大杀毒厂商才把它加入病毒库（也包括卡巴在内）。

楼主辛苦了，不过可能漏了一点：
该病毒会遍历盘内所有的网页文件，并插入一个经过加密的网址，可能是下载病毒的！！！

本人共捕获了4个变种（均已上报），最后一个变种是本月17号发布，最近一直没见新变种出来，这个病毒在我校的嚣张气焰已经到了尽头，呵呵！！！

【回复“小拿”的帖子】
局域网可能是此毒流行的重灾区

学习

引用:

【小拿的贴子】 这个病毒的确复杂，我重装系统后也是用右键进入其他盘，吃了大亏。 是不是因为这个病毒复杂，我在上报该病毒后，居然等了3天，国内3大杀毒厂商才把它加入病毒库（也包括卡巴在内）。 楼主辛苦了，不过可能漏了一点： 该病毒会遍历盘内所有的网页文件，并插入一个经过加密的网址，可能是下载病毒的！！！ ………………

我前几天也中毒了，我想问下，是不是按照LZ的手工清理方式，就可以删除了吗？（因为我已经重装了5次系统了，也删除了每个盘pagefile.pif和autorun.inf，但是不幸的是刚刚又中了）

我想问下
我C盘下也有pagefile.sys文件，这个也要删除吗？

引用:

【小拿的贴子】 该病毒会遍历盘内所有的网页文件，并插入一个经过加密的网址，可能是下载病毒的！！！………………

是什么意思，是还要删除一些其它文件吗？

正常下pagefile.sys是,- -记录大小,再去看看虚拟内存大小,就明白了

我还想问下，现在进不了安全模式，如何用命令删除阿？
谢谢！