瑞星卡卡安全论坛

我对制作这个病毒的作者佩服啊，让我的主页被锁定了5天。刚刚解决

中毒症状：主页被锁定（我的是xfkz.com），用各种工具都无法修改（修改IE主页后几乎瞬间恢复），下载n多病毒木马，不断开启新浏览窗口，直到mathon自动关闭（无法正常浏览网页），瑞星监视自动关闭，木马克星关闭。后来中了vking感染exe文件等等，这些都是瑞星关闭后的事情。

首先，我先把其他病毒木马清除干净，然后上网google--xfkz.com（baidu屏蔽了这些搜索），发现中了xfkz.com的人并不是很多，我的中毒症状却与中了piaoxue.com的症状挺象，google--PIAOXUE.com但没有发现有价值的线索，发现了有人说用gmer解决了问题，后来下载了，但没用。

还是自力更生吧，经过不断的探索研究，发现了一个文件C:\WINNT\system32\drivers\smlbhn41.sys每次引导启动，不大正常，google此文件，惊奇的发现居然搜不到（这年头还有搜不到的东东），找注册表吧HKLM\SYSTEM\CONTROLSET001(还有CONTROLSET002和CONTROLSET002)\ENUM\ROOT\LEGACY_SMLBHN41，HKLM\SYSTEM\CONTROLSET001(还有CONTROLSET002和CONTROLSET002)\SERVICES\SMLBHN41，HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SMLBHN41，HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SMLBHN41。

其中HKLM\SYSTEM\CONTROLSET002\SERVICES\SMLBHN41和HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SMLBHN41中的IMAGEPATH键值不能修改（同修改IE主页症状一样，即修改后一F5就变回来），好了，初步锁定这个文件，用了各种工具无法停止这个驱动，备份注册表吧，然后搜索SMLBHN41，删除项（注意不是键值，删除键值后很快会重建），重启电脑，修改主页，OK！后续工作就是删除这个文件了。

我估计PIAOXUE.COM应该也是这样解决，找到对应的SYS文件，注册表删除后重启。对各位能找到这个文件的朋友提个醒，一定要备份注册表，用XP的要建还原点（我的是2K），如果有哪位朋友的IE被这两个网站劫持用以上方法还没改过来的可以在此贴留言。

同时我对瑞星表示极大不满，自9月15日以来，我的电脑用了大约20天，绿伞变红估计得有10天，现在好像什么病毒木马都能关闭瑞星了。这个浏览器劫持病毒在9月底就出现了，瑞星的反应迟缓阿。我杀毒期间重装瑞想超过10次，装完就升级，我都装的烦了。