如发现有乱码， 请直接从这里浏览原文
正文摘录:

荣鸟的病毒遭遇战一，起因这天我打开电脑，却意外的发现NOD32没有启动加载，H好自己手工打开NOD32控制中心，居然也没有启动成功。直觉告诉我，系统一定感染了病毒。点击“开始”“运行”，在“运行”栏里输入msconfig，查看注册表的启动项和隐藏的系统服务。没有发现任何异常。不得不请出我的好伙伴一各种安全工具。运行sRENG准备查看一下启动项目，可是无法打开t我又运行icesw0rd(冰刃)想查看是否有隐藏进程或是有隐蔽的dl1插入，可照样也打不开。此后我又试了360安全卫士，杀毒助手等很多工具都是如此，不得不感慨当今病毒的狡猾与强大，于是一场与病毒的战斗就这么开始了。=，艰难的杀毒历程停了一会儿，我想到了ImageFileExecution()ptiOnS(IFEO|11short)劫持，就是通过在注册表的HKEYLOcALMAcHINE＼sOFTwARE＼Microsoft＼windowsNT＼CurrentVersion＼lmageFiIeExe~utionOPtion0下建立特定的子键来达到屏蔽一些特定程序或者是修改指向目标程序(一般为病毒衍生体)。我在“运行”栏输入regedit，还好注册表没有被禁用，我来到上述的键值下.果然发现有好多安全工具已经被列入黑名单了，怪不得这么多的工具都无法打开，如小龙@武船的子键debugger来指向。C：＼PROGRA…l＼COMMON。l＼MICROs’l＼MSlNFO＼A1D29050.dat”，看来我们运行这些程序只会导致病毒的再生。于是删除掉其中的lcesowrd和sreng键，重新运行iceswor(1，这回正常打开了，可是仍然没有发现异常进程和ro0tkn隐藏进程，不过在explorer进程里发现被注入了一个非常显眼的木马dll，dll模块路径为：c：＼J~rogramFiles＼CommonF订es＼MicrOsofLSrlare(1＼MSlnf0＼AlD29050.图2选中该d11并强制解除，然后我决定转到该目录下删除病毒程序。可是进入目录后居然没有发现这两个文件，打开文件夹选项后发现无法选择“显示所有文件和文件夹”，真是气人。记得U盘病毒专杀工具可以恢复这个注册表键值，下是上网搜索到该工具，可是我的浏览器却莫名其妙的被关闭了，看来这个病毒还可以根据关键字来强制关闭进程，真是可恶!这时我义发现icesw0rd也无法打开了，不想折腾自己了，直接改名后打开icesw0rd，果然发现该dll义注人到了expl0rer进程，并且我发现新开任何进程都会导致该dll重新注入到explore。我找了·个显示所有文件和文件夹的注册表文件：