其实，这个病毒并非新毒。写这个帖子的目的是：给手杀爱好者提供一个思路，通过真刀真枪的操作，长点儿本事。

我是在“爱毒霸社区”见到一个求助帖（http://bbs.duba.net/thread-22450804-1-1.html），才知道有这块料。

那个帖子2011-5-11就挂在那里，我也曾下载过他提供的样本，但解压时总报包已损坏。

今天，回去再次浏览那帖，才发现那哥们儿说：那样本本来就是.exe（而非压缩包），他只是将.exe后缀改为.7z，就传上来了。汗！

下载之。将后缀改为.exe。

1、病毒是这个样子，还有伪造的数字签名（但伪造的不好）。汗！






2、真正的mseinstall.exe的数字签名是这样子的：








运行这个样本，观察其行为，寻找比较原始的手杀方法。原始方法的好处在于：不借助特殊工具；缺点在于：操作稍嫌复杂。


其实此毒并不隐蔽。用SRENG这样的老工具就能发现其驱动项。中此毒后，之所以难搞掂，是因为病毒程序MSAPI.DAT插入了wininit.exe进程（SRENG也能发现）。若强制卸除wininit.exe进程中的病毒模块MSAPI.DAT，系统崩溃，蓝屏重启（我在WINDOWS 7 下观察到的病毒行为如此）。


灭这个病毒，还用不着动用XUE.TR。杀鸡焉用宰牛刀？咱连SRENG都不用，就用系统自带的工具灭它。


3、既然卸载病毒模块不灵，那咱就换个思路————针对病毒的服务项，在注册表权限上做点儿手脚，看看效果如何：






4、这毒果然比较俗（它不监控自己的服务项）：






5、既然如此，咱就钻它这个空子————篡改其服务项后，用注册表权限将这个病毒服务项封死！



用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.8.131 Version/11.11

接下来，当然是重启系统啦。



6、重启系统后，此毒释放的所有病毒文件即可轻易删除：









7、接下来，就是恢复那个病毒服务项的注册表操作权限，然后删除之。如果不会这些操作，也没啥。注册表中留下点儿垃圾而已。

你的日志中，[PID: 680 / SYSTEM][C:\Windows\system32\wininit.exe]  [(Verified) Microsoft Corporation, 6.1.7600.16385 (win7_rtm.090713-1255)]这个进程是干净的，没有病毒程序MSAPI.DAT插入。因此，这个帖子对你来说没有参考价值。
用杀软扫描吧，还是。