据说是来自某网站的木马。拿到样本，看了一下。
其MD5值为33119870f5b8c7f823c8f6362555c756
瑞星18.41.22不报毒。升级到18.41.30——仍不报。

（一）感染系统后的表现：
g0ld.com运行后，在C:\Program Files\Common Files\Microsoft Shared\MSInfo目录下释放InfoMz.IME。
InfoMz.IME注入explorer.exe进程。

g0ld.com添加的注册表项：

1、在HKEY_CLASSES_ROOT\CLSID\分支添加：{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
在HKEY_CLASSES_ROOT\CLSID\{F084FD46-EB63-4CC0-B814-99C16EE76BD1}\
添加：InProcServer32
InProcServer32的默认值为：@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\InfoMz.Ime"
"ThreadingModel"="Apartment"
2、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加：
"{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""
（二）查杀流程：
1、打开IceSword，找到进程explorer.exe，右击explorer.exe，点击“模块信息”，强制卸除插入explorer.exe进程的nfoMz.IME。
2、删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\InfoMz.IME。
3、清理注册表：
打开注册表编辑器。
展开：HKEY_CLASSES_ROOT\CLSID\
删除：{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除："{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""

【回复“【火影】我爱罗”的帖子】
我手头那点儿东西，常在社区混的都知道：SSM、TINY、瑞星或卡巴斯基。其它的小零碎还有：IceSword、autoruns、SREng、HijackThis。这些，不是同时都用哦！根据具体问题选择。

引用:

【炫Oo逍遥oO的贴子】TINY 能给个详细介绍使用方法的帖吗?``谢谢了 ………………

我不主张大家都去用Tiny。
原因有：
1、英文界面。并非所有人的英文都过关。
2、设置比较复杂。如果你不了解其设计思想，最好别用。
3、设置灵活。使用者要花时间熟悉。否则，你很可能“作茧自缚”。死，都不知道怎么死的。
4、Tiny是用出来的，不是听张三、李四讲讲，就能“游刃有余”的。

其实，SSM相对容易上手。设置、使用也比TINY容易。而且，SSM支持简体中文。