样本来自：http://bbs.janmeng.com/thread-942647-1-1.html

据说中此毒后较难杀净。剑盟那里还为此毒中招后的手工查杀摆下了擂台（http://bbs.janmeng.com/thread-942679-1-1.html）。

我下载此毒实机运行后看了一下。发现通过临时更改cmd.exe以及病毒程序的文件操作权限，并借助IceSword，即可搞掂此毒。

1、中毒后的典型症状为：系统程序explorer.exe、services.exe以及病毒程序访问网络（图1）：


2、改变系统程序cmd.exe以及下列病毒文件的文件操作权限（拒绝任何人操作这些程序，例子见图2）:
C:\Documents and Settings\Administrator\Application Data\ohydy.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\624.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\1128.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\3871.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\4463.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\9613.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\0363313.3x3
C:\Documents and Settings\Administrator\Local Settings\Temp\fc1d8cc7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\hcnc.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\mcqiivok.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\roynhcm.exe


3、用IceSword强制删除C:\Recycler\目录下的病毒文件夹（图3,病毒文件夹已被删除）。



4、重启系统。逐一恢复病毒程序的文件操作权限，然后删除之（图4-图7）。










5、恢复cmd.exe的文件操作权限（图8-图9）。





搞掂。


灭掉病毒，重启后的网络访问状况恢复正常：






用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61

猫叔有驱动加载嘛，据说是那个驱动难缠

那个ace.sys被改动是个假象。（对比过中毒前后以及清除病毒后的ace.sys的MD5————无变化）。


灭此毒的关键是封死cmd.exe和C:\Documents and Settings\Administrator\Application Data\ohydy.exe的权限。


因为我发现病毒得以死灰复燃的一个操作是系统启动时，病毒以 /c命令加载C:\Documents and Settings\Administrator\Application Data\ohydy.exe或 C:\Recycler\。。。。\ohydy.exe。

病毒以 /c命令加载

是利用注册表项呢？？

还是其他程序启动后执行此命令？？？

nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers Offset: 4,096, 长度: 4,096, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 0, 长度: 785,920

(这个785,920 字节的就是病毒驱动，以下病毒的动作估计是恢复aec.sys）

nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 0, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 65,536, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 131,072, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 196,608, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 262,144, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 327,680, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 393,216, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 458,752, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO

最初玩儿此毒，我也将ace.sys删除了。
后来，仔细看过Tiny的监控过程，发现此毒的软肋是病毒程序  ohydy.exe和 系统程序cmd.exe 。中毒后，如果能有效控制住这两个程序操作权限，重启系统后，这个毒就是个废物。
这时对比中毒前后ace.sys的 MD5值————相同。此外drivers目录下也无可执行程序.exe释放。


另：在WIN7系统中，中此毒后根本就没有ace.sys释放。