MISC病毒的新变种出现了，可以自动关闭包括瑞星、KILL在内的多种杀毒软件的实时监控。同时可以关闭进程中包含瑞星等字段的程序，比如各种瑞星专杀工具，或者标题中有瑞星的网页，还可以关闭HIJACKTHIS、MISC专杀等工具，给杀毒工作造成极大障碍。经过检测，发现种了新变种的病毒无法进行瑞星的安装，注册表编辑器无法使用（病毒修改了系统文件关联），所有EXE文件都无法打开，必须更名为com为后缀名的文件才能打开。这两天在工作中我遇到了N台这种机器。经过研究发现，系统进程中多了一个svchost进程，创建进程的用户名就是当前登录的用户名（比如我用admin登录，那么这个进程的用户名就是admin）。这个进程就是病毒用来监控各种工具，防止我们杀毒的进程，将这个进程结束掉就可以正常安装杀毒软件和使用各种工具。但是，这个进程关闭一会后还会自动启动，说明还有守护进程。使用瑞星2007测试版19.04.10杀毒后，这个进程仍然存在，在注册表中没有发现这个进程的启动项，说明这个进程是跟随系统服务启动的，估计病毒的作者是从www.7939.com这个流氓网站的那个realplayer进程受到的启发，也许参考社区里的相关帖子可以清除。由于工作忙还没有时间进行详细分析，暂时把握发现的这些信息共享给大家，希望对大家有所帮助。

【回复“masterD”的帖子】
如有该马样本，请打包发到：baohelin@yahoo.com.cn。
谢谢！

如果我再遇到，一定发给你。