前天一同事过来跟我说，他那边办公室的电脑突然上不了网了，而且杀毒软件也打不开了。PS：这小子趁前一段时间的省上某个项目经费下来了，用公费买的正版瑞星，150个银子呢。。。啧啧，不像我们，一直用的D版卡巴。
    过去打开他的电脑一瞧，发现瑞星的病毒监控已被关闭，点击瑞星主程序图标无任何反应，不过网络防火墙还能正常运行。看来是被病毒给作掉了。试着CTRL+AIT+DEL打开任务管理器，没反应，看来也给禁掉了。掏出自已的U盘，往他的电脑上一插，想用SRENG作个扫瞄报告瞧瞧。谁知根本就启动不了SRENG，想必也给病毒给禁掉了，于是把SRENG。EXE改名为SR。COM，点击，咦？居然要注册码？偶可是最新版的SRENG啊，再一看电脑上的系统时间，居然给改成了2004—01—22日！把系统时间重新改回，点击SR。COM。终于成功运行，先查看了一下启动项，发现有三个异常自启动，最明显的就是SHELL项被修改成指向C：\windows\system32\drivers\conime.exe，另外还有两个C：\windows\system32\qmmxtr.exe，C：\windows\system32\severe.exe的启动项，从扫瞄报告上看，驱动及系统服务没看出什么异常，winsock也没什么问题，不过该病毒在HOSTS列表里屏蔽了包括瑞星，金山，江民，卡巴，诺顿等大多数杀毒软件的网址，用心良苦啊。根据扫瞄告扫出的病毒名，我想试着在系统内找到病毒文件再说，试着在文件夹选项显示所有文件及文件夹，居然无法更改此选项！于是试着先把SHELL项修改为正常值，删除两个病毒启动项，清空HOSTS列表，不过马上发觉这样根本没什么效果，病毒迅速就把修改项又改回来了。算了，用冰刃吧！点击icesword.exe，没反应？看来这个病毒把冰刃也给禁了啊。再一看系统时间，晕，又给我改回2004-01-22了。
  把系统时间重新改回，将icesword.exe重命名为ICE.com，点击，成功打开冰刃，在设置里禁止进程创建。查看进程，果然，conime.exe，severe.exe，qmmxtr.exe三个病毒进程都在。用冰刃试着将病毒进程一一杀掉，谁知刚杀到最后一个进程conime.exe，系统蓝屏，重启了。再进系统一瞧，病毒进程仍然好好在那呆着，重新试了一下对病毒进程的杀灭，NND，又蓝屏重启了。
  正常模式不行了，老子进安全模式下总可以吧？于是重启时按住F8进了安全模式，嘿嘿，想不到这三个病毒居然在安全模式下仍然能被正常加载！再试一下用冰刃禁止进程，咣的一下，又重启了。
    NND，那我先删病毒程序总可以吧？仍然安全模式重启，用冰刃找到对应的病毒文件，删除，没三秒钟，病毒文件居然又回来了。恨的我咬牙切齿的。想直接用电脑自带的搜索功能搜索病毒程序吧，又无法显示所有文件。。（被病毒给禁掉了），突然想起自已办公室电脑上MS有个专门用来修复此此种情况的注册表文件，于是跑回自已的办公室，把U盘往自已的电脑一插，没想到卡巴杀猪声立马大作！发现木马程序重要资料.exe，发现木马程序美女游戏！发现木马程序OSO.exe!U盘病毒？立即在自已的电脑上选择显示系统及隐藏文件，果然，在U盘上选择右键菜单，果然，被加入了AUTO项！打开U盘，还残留了一个autorun.inf文件，其实病毒程序已经被卡巴给作了，这个autorun.inf现在已没什么危害，不过当然还是删除了事啦。
    拷入我需要的注册表文件。回到染毒的电脑上，这次我多了个心眼，对他电脑上的五个分区一一用右键菜单查看了一下，发现除了C盘系统盘外，其余的四个分区一律被加入了AUTO项，果然是U盘病毒！在查看最后一个分区G盘时，我发现以前我为这台电脑作的GHOST备份文件消失了！问同事，他说绝不可能是他删除的，我靠，威金变种？
    算了，我还是继续自已的杀毒大业吧。双击我拷回的注册表文件，没反应？在运行项里直接输入regedit，还是没反应！而且这个时候我发现，系统时间居然又给改回2004-01-22了，看来这个病毒在禁止一些安全相关程序运行时，同时监控着用户的相关操作，一旦发现用户有操作类似SRENG，冰刃，注册表一类的程序时，立马修改系统时间，让你无法运行。
    将系统时间重新改回，进目录，找到注册表，将其更名为RE.com，双击，成功打开注册表。好了，这次双击我拷回的注册表修复文件，提示找不到合适的程序来打开这个文件？当然啦，因为注册表文件被我更名了么，手动打开程序选择RE。COM。成功导入注册表文件。这下再选择显示所有文件及文件夹，成功！
    根据SRENG的扫瞄报告，在C：\windows\system32\drivers\找到CONIME.exe，试着删除，两三秒钟时间病毒又回来了~~试着删除另外两个病毒程序，也是这样。。
    这个时候我是真没招了，直接先禁止进程吧，一杀掉进程就蓝屏重启，不禁止进程吧，病毒一删，几秒钟时间就回来了。。。等等，我有主意了。
    先在桌面上建立了一个文件夹，命名为severe.exe，复制这个文件夹，然后进入C：\windows\system32\，试着将这个文件夹粘进去，当然是粘不进去了，提示：“因为这个目录下存在同名文件，所以无法创建该目录！”嘿嘿，要的就是这个！在C：\windows\system32\中找到severe.exe，右建，删除，然后快速点击粘贴，成功，同名文件夹粘进去了！
    然后我继续在桌面上创建了qmmxtr.exe,conime.exe,oso.exe，重要资料.exe，autorun.inf等五个文件夹，先删除qmmxtr.exe，将同名的文件夹快速粘进去，（同志们，在完成这个步骤时，速度一定要快！手千万不要抖喔），其它的病毒程序处理也如法炮制。。PS：处理非系统盘时一定要注意，不要双击打开分区，用右键菜单选择打开，一般在分区根目录下有两个病毒文件，autorun.inf，oso.exe，按以上步骤对四个分区进行清理。清理完毕，重启。
  重启进系统时停滞了两三秒钟，然后就看桌面上陆续打开了conime.exe文件夹，severe.exe文件夹，qmmxtr.exe文件夹，都是一闪而没，那时那个心里高兴啊，任你再奸还是被我一个小花招给骗了吧？这个时候在任务栏就看到代表瑞星病毒监控的小绿伞终于打开了，再双击瑞星杀毒的图标，成功打开瑞星！
    这个时候，再打开SRENG，将被病毒修改的SHELL项再改回，删除两个病毒启动项，清空HOSTS列表，保存，这下成了。再进注册表，搜索了一下病毒残余，删除，至此，这个顽固病毒终于被请出去了。
    这次杀毒费时近三个小时左右，在试过多种传统方法无效的情况下，最终用一种无赖办法的把它给干掉了，利用了在同一目录下，同名的文件和文件夹不能同时存在的原理，我不知道以后的病毒作者会不会注意到这个问题（阿门，千万别让我的愿望成真。。），同时在这里强烈对瑞星~~不能说是鄙视，不过起码是小瞧，防毒的居然被病毒作的一点脾气都没有，你看我用的小卡多好，晃都没晃一下（偶不是枪手，这也不是给谁作广告，谁骂我枪手我跟谁急），就在今天下午，我们单位另一台电脑也被同种病毒传染了，仍然安装的是瑞星~~估计是被那些被染毒的U盘传播上的。。唉，在清除完这个病毒后，我用OSO。EXE作搜索关键词百度了一下，发现这个病毒还挺有名，不过有网友说这个病毒瑞星已经能够查杀了，那我遇到的这个病毒瑞星又怎么回事哩？表跟说我病毒库更新不及时的鬼活。。。