大早起来启动笔记本电脑，一个名字很奇怪的程序，要求得到瑞星防火墙的通过许可。由于最近两三天并未手动安装任何的外来程序，立即拒绝了该程序队网络的访问要求。

第一次查杀：4个流氓软件和3个可疑程序

  互联网的环境实在是糟糕透顶，流氓横行病毒肆虐。我第一感觉是“又中了流氓软件的招了”，赶紧打开超级兔子查杀。果真如此：在系统中查找到4个软件，属于超级兔子可以杀灭的流氓软件之列。ShdocvwHlp、ADPlus/MSPlus、通用搜索、Grandsoft。

  通用搜索roogoo.com已经被不少为网友和恶意软件清理程序列为“新一代的流氓软件”之一，ADPlus/MSPlus也可以从名字上看出来是个广告插件，不知道何时，这几位老大开始进驻到了我的电脑中，我一直没有感觉到。

  超级兔子还报告，在硬盘中找到以下可疑程序：

  C:\WINDOWS\MSHOST.EXE

  C:\WINDOWS\Config\SVHOST32.EXE

  c:\program files\internet explorer\1sy.exe

  看到svhost32.exe头脑中轰的一下，预感到这次中的麻烦大了，这个名字在杀毒厂商最近预报的几个木马变种中都有提到。1sy.exe这个就更离谱了，放在explorer目录的名下，微软怎么会给程序命这样的名字呢？至少可以肯定是一些写的很垃圾的程序说产生的文件。

  既然兔子发现了这些，赶紧用清理功能把这些都清理了。

第二次查杀：木马克星杀敌未遂身先死

  既然电脑中发现了svhost32.exe，我怀疑已经被人中下了木马。

  安装木马克星之后，赶紧打开查杀木马，木马克星报出了一大堆的文字提示，我还没来得及看明白，突然自动关闭。

  再试，木马克星已经无法打开了，看来是被某个木马程序或者恶意软件给干掉了。木马克星杀敌未遂，先被流氓给干掉了，然后就再也无法启动了。

第三次查杀：不知不觉中，瑞星防火墙被干掉了

  发现木马克星不能使用之后，赶紧重新启动电脑。再次打开超级兔子升级到最新版本再查，这次糗大了。

  我电脑中被发现的可疑程序非但没有减少，反而大大的增加，感觉这些像木马病毒似的繁衍出了很多变身。

  超级兔子提示在硬盘中找到以下可疑程序：

  C:\WINDOWS\WINLOGON.EXE

  C:\WINDOWS\EXPLORER.COM

  C:\WINDOWS\system32\RUNDLL32.COM

  C:\WINDOWS\system32\MSCONFIG.COM

  C:\WINDOWS\system32\REGEDIT.COM

  c:\windows\1.com

  c:\windows\exeroute.exe

  c:\windows\finder.com

  c:\program files\internet explorer\iexplore.com

  c:\program files\common files\iexplore.pif

  c:\program files\microsoft\svhost32.exe

  c:\program files\microsoft\svhost32.exe

  超级兔子还提示，我的电脑又被3种流氓软件插上：159定向搜索、npf、Kmedia。

  超级兔子杀过之后，心想又赶紧请出360安全卫士，查杀这些恶意的流氓软件。

第四次查杀：360安全卫士无法打开，重新安装仍然如此

  此时360安全卫士已经无法打开，重新在官方网站下载安装之后，仍然如此。

第五次查杀：系统仍有多个不明文件，超级兔子提示没有任何发现


  用超级兔子查杀木马和恶意软件提示“没有任何发现”，但是发现系统仍有多个不明文件，比如C盘根目录出现了莫名其妙的1.exe。

第六次查杀：升级瑞星防火墙，但是启动选项无法禁止流氓开机自动启动

  升级瑞星防火墙，但是启动选项无法禁止流氓开机自动启动。而且我系统根本没装realplayer播放器，启动的进程中却出现了两个“realplayer”，而且图标也不是realplay的图标。图中红色的几个选项也都是恶意软件的变身。

  另外，优化大师也无法没法将其从启动项删除，总有一个删不掉。而真正的realplayer是可以从启动项删除的。

第七次查杀：木马防线2005+查出48个木马病毒

  [1]

  病毒名称 = Trojan-Downloader.Win32.Delf.aud

  文件名 = C:\DOCUME~1\刘阳\LOCALS~1\Temp\CCG0.exe

  [2]

  病毒名称 = Trojan-PSW.Win32.WOW.at

  文件名 = C:\WINDOWS\WINLOGON.EXE

  木马防线查杀的同时，打开了同是该产品配套的“安天盾防火墙”。

第八次查杀：360安全卫士找出U88和7939.com两个流氓

  木马防线清理过之后，360安全卫士又可以使用了。安全卫士查出了两个恶意软件，原来“realplayer”文件名是7939.com这个大流氓的变身。

  U88财富快车 - C:\Program Files\Common Files\UPDATE

  7939.com - C:\WINDOWS\system32\REALPL~1.EXE

第九次查杀：瑞星“橙色八月”专杀工具提示两个疑似

  不放心电脑是不是已经杀干净，到瑞星网站下载了“橙色八月”专杀工具，查完提示，有两个疑似病毒。但是该工具提示使用瑞星杀毒软件可以杀。

第十次查杀：重新启动，进入安全模式再次查杀

  重新启动电脑，进入安全模式，用之前使用过的几款软件再次查杀一遍。“橙色八月”专杀工具仍然提示有两个疑似，但是瑞星杀毒软件提示并未插到，而其它软件也没有什么发现。

  天知道我的电脑是不是干净了,至少我已经不相信它是干净的。

  到此，我已经无力再赘述什么，只是想请认识那些木马、病毒和流氓软件的作者，问候祖宗十八代，愿它们……（注意是“它们”，估计有不少中招的朋友已经在心中问候过作者无数次了，此处省略的字样包括“断子绝孙”、“全家下地狱”等等800字）。


[ 此贴被iguard在2006-09-13 10:07重新编辑 ]

LZ用了一堆工具。。。

不过LZ思路清晰，毅力过人，佩服啊。。

这么麻烦............
真可怜

前几天去弄亲戚家的电脑
什么流氓软件,木马,病毒啊差不多60多个
这是我第一次看见这么牛的电脑啊
一开机就有60多个线程,等了N久之后居然还能拖动鼠标

如此毅力,恒心,唯吾悲之人所景仰

本来打算重装系统的,又没带盘.
只好慢慢清除,太郁闷了

提醒lz,你电脑现在有点危险,不要报太大希望

生成1.exe和1sy.exe等都是一个破坏性极大的木马logo1_.exe的潜伏表现,这个病毒99%的杀毒软件是找不到的,而且会破坏你机子上以有的杀毒软件,并逐步感染所有的可执行文件.

理论上说,中了之后如果没有及时排除,重装系统都不行,必须格全部磁盘,因为会感染所有可执行文件.
随时注意windows文件夹下有没有名为logo1_或sws的文件

LZ用的工具好多啊

好艰难啊

LZ好强啊

真想知道这些木马啊,流氓软件啊,是怎么自动装到机子上面的