如发现有乱码， 请直接从这里浏览原文
正文摘录:

其中，c：＼’windows＼system32＼5BAB2468.exc为服务启动文件，运行后.使与其同名的DLL文件加载到系统进程中，起到保护作用。我们知道了病毒的基本信息，就可以尝试来删除病毒了。我使用的软件是Filem0n.这款软件可以记录下所有对于文件的添加、修改和删除，并且可以显示是哪个进程进行的修改。打开冰刃(IceSword)，在设置中选择。禁止进／线程建立”，打开进程，结束所有无用进程(结束过验证，注册表中的启动项目没有自动修复。逐一禁用系统服务，并且刷新查看是否自动修复，发现c：＼windows＼system32＼5BAB2468.exe文件的服务会自动修改为启动，这就是一个保护的地方。但是现在还不能明确知道此保护的文件是什么，后来验证是winlogon.exe下加载的病毒DLL文件。最后逐一删除上面分析的文件，并且查看Filem0n的记录。当删除C、D、E盘根目录下的rising.exe或者autorun.inf时，Fi1emon发现winlogon.exe会自动建立rising.exe、autoI’Lln.inf这两个文件，并且运行一次，使得木马恢复，这个就是此病毒的重要保护。此病毒保护分析到这里也就差不多。对于每一种保护.我们都可以使用一些特殊的方法来删除这个病毒。根据以上的分析，就可以完全了解此病毒的保护机制和运行原理了。此病毒运行后，首先建立一个隐藏的进程.通过此进程产生用于保护的病