如发现有乱码， 请直接从这里浏览原文
正文摘录:

溜逡螽溢密趋趣遗龋裔妇眺”V8IueNeme”=”Hl@derI。”OefsIJltValue”=dword：00000002”HKeyRoot”=dword：80000001’’HelplO“=”shelIhlo~51105”＼＼curMWersion厂[AutoRLJn】open=A1D2g050.exeshe_l＼operI=打许(&O)sheU＼open＼CoI~mand=AID29050exe将这个文件保存为show.reg，然后双击导入注册表里就可以再次修改“显示所有文件和文件夹”。接着利用icesword强制解除掉。c：＼ProgramFiles＼CommonFiles＼Mic：rosoftShared＼MSlnfo＼A1D29050.dll”，再定位到那个目录_F删除掉AID29050.dll和AlD29050.dat(注意要在导人注册表后再强制结束该dll，因为此时调用了注册表又重新加载了该d11)。现在打开sreng可以发现该dll是写到了“【HKEY—LOCALMACHINE＼SOI：’TWARE＼Microsoft＼Windows＼Current，Version＼Explorer＼ShellExecute}~ooksr来启动的(很明显该病毒是利用此键来达到注入expl0rer的目的)，使用圈3接着直接删除掉}tKEYLOCAL.MACI"lINE＼SOFTWARE＼MicrosoftIWindowsⅣr＼Cur’rentVer’sl。onIimageFileExeoutionOptions整个键值，避免程序无法创建。本以为病毒就这么给干掉了，谁知等我打开盘符的时候病毒义重新建立了，真足郁剐啊!继续重复刚才的杀毒步骤：改icesw0rd名一打开你需要的任何辅助程序，建立修复显”i所有文件的注册表并导入·使用icesword卸载掉AlD29050.dll模块一删除dU和dat文件·删除IFEO整键。这时就不要打开除C盘外的任何盘符了，也不能使用资源管理器打开，因为它在每个盘的目录F写入了autorun.1nf，内容如下：我们可以直接在“我的电脑”的地址栏或者在“运行”栏里输人盘符来打开，例如打开D盘就输入“d：”。删除掉rdIatorLIn.inf和AlD29050.exe，在每个盘符F重复上边的删除操作，这样就可以完全清理掉该病毒了。三，深入分析，解决后患其实这个病毒自身就是一个载体.我在虚拟机F运行后发现它会不定期释放一些盗号木马和流氓软件。所以各位读者在完成卜述清除步骤后一定要使用杀毒软件查杀病毒，使用安全工具修复一下系统，并利用aut0runs这样的工具查看一下所有的启动项目，检查是否有其它恶意程序被加载感染，同时也别忘了使用360安全卫士等工具查系一F流氓软件。这个病毒利用了sheIIExecute¨ooks启动，井利用JFEO映象劫持来屏蔽我们的安全工具，它自身释放到分Ⅸ目录里利用aut0run重建自身，同时自身会屏蔽掉一些关键字，因为它插入到浏览器进程，所以我们搜索它释放的相关病毒或者杀毒工具，它就会强制关闭浏览器。不过它井没有限制搜索“A1D29050”这个自身的文件名，网上的方法并不好.我之所以使用icesword，就是因为它是运行在r_T1g0下的工具.病毒无法注入到iceswor(1进程。而syschcck本身就被注人了.所以你会发现使用syscheck来修复根本不可能成功，1；过在杀完病毒后使用syscheck检测一下是有必要的。这个病毒有很多变种，可能具备r自动更新功能，如果有什么防火墙可以不被屏蔽的话人家就可以观察到。为什么我要在最后杀完病毒和清理掉劫持后再打开sreng昵?因为我发现变种病毒已经可以达到&