【前言】
本次病毒分析以XP系统为例

【初步分析】
出现这个木马应该与傲迅浏览器辅助这个流氓插件有关

【日志分析】
从HIJACKTHIS的日志中我们可以发现有如下相关项目：
（当然HIJACKTHIS的扫描并不彻底）
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: BHelper - {8A4280AD-9B37-4922-A51D-73F3C3A32AF7} - C:\WINDOWS\system32\msibm\cfsbho.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [mscfs] RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll,cfs

【相关文件及文件夹】
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\bakcfs\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
C:\WINDOWS\system32\wmpdrm.dll

【相关文件分析】
C:\WINDOWS\system32\wmpdrm.dll添加IE加载模块
C:\WINDOWS\system32\msibm\cfsbho.dll添加IE加载模块
C:\WINDOWS\system32\msibm\msibm.dll插入到多个系统进程
C:\WINDOWS\system32\spoolsv\spoolsv.exe冒充微软打印机程序并添加为自启动项
C:\WINDOWS\system32\msibm\cfsys.dll添加为自启动项
添加删除程序中出现两个奇怪的卸载程序：“NavAngel”和“WinDirected 2.0”

【解决参考】
用HIJACKTHIS修复
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: BHelper - {8A4280AD-9B37-4922-A51D-73F3C3A32AF7} - C:\WINDOWS\system32\msibm\cfsbho.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [mscfs] RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll,cfs

双击C:\WINDOWS\system32\msibm\下的uninstall程序
卸载清除C:\WINDOWS\system32\msibm\

开始－－运行
输入regedit
确定　
进入注册表
展开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall”，在Uninstall文件夹下删除“NavAngel”和“WinDirected 2.0（或WD2）”这两个文件夹

删除
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\bakcfs\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
C:\WINDOWS\system32\wmpdrm.dll

清空IE临时文件夹

清理注册表(建议使用优化大师)
可以使用“恶意软件清理助手”这个小工具
下载http://www.tommsoft.com/products/
使用前请先在线升级该工具
建议清理注册表之前备份一下注册表

【提示】
若正常模式下无法解决
建议进入安全模式下操作

【小常识】
若文件找不到或无法删除文件
建议进入安全模式下删除
打开我的电脑
在工具栏中点击－－工具－－文件夹选项－－查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件（推荐）”前的勾去掉
然后再进行查找一下

或利用KILLBOX来删除
KILLBOX下载：
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

或利用费尔木马强力清除助手来删除
费尔木马强力清除助手使用参考：
http://www.xfilt.com/tech/trojan-horse.htm

【回复“风有理由”的帖子】
请楼主好好参考大家的回贴
OK？

引用:

【海色の月的贴子】也有“Win Survey”的“变种”。 ...........................

是不是会产生一下update文件夹？

引用:

【dwlsn的贴子】楼主，我不到你说删除的那两个文件，怎么回事？ 就可以找到这，然后Uninstall文件里面就没有要删除的文件了． HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall ...........................

上面主题贴的内容并不一定与大家机器中这个木马后所产生的文件一致
有很多朋友的添加删除程序中并没有那两个可疑的卸载程序

【回复“赖赖赖”的帖子】
参考我的回贴
我已经说的很清楚了

引用:

【鬼魅夭夭的贴子】我郁闷~~好象好高深啊``= =|、`` 都看不懂也~~~ 什么是安全模式啊？怎么进去啊？ 谢谢啊~~ ...........................

开机时按住F8<可以不停地按动F8>
选择"安全模式"或"SAFE　MODE"进入安全模式

【回复“消灭天下电脑病毒”的帖子】
修复
R3 - 默认的URLSearchHook丢失。用HijackThis修复
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - NT 服务: Network Management Center Time (W32Times) - Unknown owner - C:\WINDOWS\system32\timeman32.exe

进入注册表
展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
找到后删除W32Times文件夹

删除
C:\WINDOWS\system32\timeman32.exe

【回复“消灭天下电脑病毒”的帖子】
病毒或木马一般会出现在系统盘符下

【回复“mengni4”的帖子】
开始－－运行
输入cmd

引用:

【mengni4的贴子】谢谢搂主，我还有一个问题，在添加和删除程序里面有两个程序my137toolbar和mmsassist，这两个是什么东西啊，注册表里也有，这个是不是病毒阿，我删除掉可以么？ ...........................

这是两个流氓软件
相关安装文件夹分别是：
C:\Program Files\My137Toolbar\
C:\Program Files\mmsassist\

先在添加删除程序中卸载

然后删除
C:\Program Files\My137Toolbar\
C:\Program Files\mmsassist\

最后清理一下注册表即可