“这个流氓有点赖”:清除MY123重点补遗 摘自cnbeta

最近,网上众多流'星'(明星级流氓程序)中,当属MY123最为猖狂.看了不少相关报道,也对这个流氓有了一定了解,但是因为良好的上网习惯及比较牢固的系统,无缘与之相会.今天,机会来了,一位好友的机器不幸中标,让我帮他清除,因为距离较远,只好通过网络帮他诊断分析清除.
在QQ下一番语音描述并抓图之后,已经对他的状况有了比较全面的了解.病机中的应该是属于3代以后的my123变种,具有网上现有介绍文章所具有的一切特征,同时在某些方面又有所增强.限于篇幅,我就不再赘述其原理了,直接说我的清除历程.以下一切都是我通过网络指点朋友做的.
必要的工具不可少,先通过QQ把procexp.exe、unlocker.exe给传了过去,因为朋友系统中的卡巴已经开始警报,该流氓的文件已经被定位,所以autoruns之类的驱动检测软件可以不用了.朋友的系统盘是FAT32格式,所以我一开始并没有打算使用NTFS权限法清除该流氓,只想利用网上现在流行的“断电大法”来清理.先用procexp把system进程中三个htozip86.sys(这个名称是随机的)的线程暂停掉(suspend),然后进入c:windowssystem32drivers下,找到htozip86.sys,右键unlocker,解锁进程后,再次右键unlocker,准备删除,此时找到电源插座的开关(朋友电脑是惠普品牌机没有reset键),在成功删除htozip86.sys后立刻断了电,这之间间隔仅仅为1秒左右.满心欢喜的重新开机,本以为已经成功清除了,但是残酷的事实打击了我,htozip86.sys依然存在,而且卡巴也依然不停的警报.连试了几次,都不行,心说怪了,难不成这个流氓缩短了扫描复制的时间?还是别的什么原因?
断电法既然失败,换别的方法再试.下载了一个优化大师最新的专杀工具,想试试看能否清除,优化大师检测后发现MY123的痕迹并显示成功清除,要求重启,可重启后,流氓依然赖着不走,看来优化大师,360安全卫士也白搭。
没办法,只好用NTFS权限法来清除了,那么首先就要把朋友的系统盘转换成NTFS格式,命令行下,convert c:/fs:ntfs 一路选Y下去,重启电脑开始转换.转换完毕,右键点击c:windowssystem32drivers文件夹,在安全标签下,选择最上面的管理员帐户,在下面的权限中,将'写入'的权限改为'拒绝',然后确定.这样在删除了htozip86.sys后,在重启之前就不怕从内存中恢复该驱动文件了,因为 drivers文件夹的权限不允许写入.然后,暂停system进程中的htozip86.sys线程,又不慌不忙地用unlocker清除了 htozip86.sys以及在system32文件夹下的htozip86.dll文件,重启电脑.满以为这一次肯定把流氓'咔嚓'了,结果,无情的现实再一次打击了我,他居然还赖着不走?! 尽管这一次dll文件被清除掉了,但是驱动文件htozip86.sys依然存在.怎么回事?我心里一遍又一遍的问自己.莫非这流氓又升级了?还会有什么隐藏文件不成?或者是具有什么更高的权限......
忽然,脑子里灵光一闪,莫非...莫非是内存清理的不够干净?导致电脑启动的过程中再次使流氓死灰复燃?抱着这种心态,我们再一次重复了上面的过程,只是这次完成后,我选择了关机,并且将电源断了电.再次通电启动电脑后,奇迹出现了!卡巴不再警报,流氓也消失得无影无踪了!事实证明了我的想法,没想到此流氓在内存中扎根如此之深,即使重启都不能将之清除,必须断电以彻底清除内存,而且这流氓的扫描复制速度越发的快了,手动断电大法已经快无法制服它了.只有综合了NTFS权限和断电这些办法,才能从根本上解决它.
剩下的就是一些收尾工作了,清除掉注册表中含有htozip.dll内容的rundll32启动项,否则开机就会报告找不到文件;将注册表HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page这个值,修改成about:blank空白页,否则每次打开IE依然会是my123的主页;这回再用专杀工具查看一下,哈哈,已经显示没有感染MY123的提示了!
到此,大功告成,特写出来与大家分享,希望对依然与流氓做斗争的朋友们有所借鉴. 

题外话,据我测试,很早以前《Windows清理助手》就可以删除MY123了,而且清除得很彻底,可惜是知道得太晚,幸好有网络,今天可以把CNBETA的文章摘来共享,同时把清理助手推荐给大家,希望大家早点摆脱这些流氓。推荐两款清理软件,我个人倾向于用清理助手杀流氓软件:

Windows清理助手下载地址:www.arswp.com
Windows优化大师下载地址:www.wopti.net
最后编辑2006-11-20 15:52:17.547000000