记一次清除“帕虫”病毒

下午到一朋友家去看计算机 系统是XP的，朋友说估计是中的病毒 用起来很不爽 而且杀毒软件都失效了 进与安全有关的网站都会自动关闭，CMD下dir/a/w一下 哇 好熟悉的东西啊——Autorun.inf＋一个可执行文件。

以常规的办法尝试清除一下，不见效果……重启F8 进安全模式，结果加载完最后一个底层驱动的时候蓝屏，系统崩溃。很明显安全模式已经被病毒破坏掉。

重新回到正常模式下的XP，发现任何工具软件只要是调用了进程哪、企图修改设置啊、哪怕稍微能够改变注册表的，都无法启动。看来这个病毒是比较棘手的了（后来确认，就是传说中的“帕虫”，要知道我很郁闷的，一年多没有碰有关软件方面的东西了，很多新东西不知道是很正常的。知道的就不要笑我了……）。从网上（ADSL模式）复制了一段修复安全模式的注册表信息，存为REG文件导入。重启，安全模式终于可以进去了，心里喜喜地想可以运行工具了，结果发现只要一运行某些U盘病毒清除工具，那个可恶的病毒进程就奇迹般地运行了。还好有拜月同志提醒，把U盘清除工具程序的名字改名……运行……就可以启动了（我当时狂晕：这个帕虫对自己的保护工作做得非常出色，竟然在这里出现了败笔，不是通过特征码来识别防护软件的）。

经过一系列的操作，我满以为已经解决了。当我再次重启的时候，我发现之前的努力都付诸东流了——病毒死灰复燃了……后来同样的方法恢复安全模式，再借助工具，我终于弄明白这个“帕虫”在%Windows%/system32中会生成一些dll文件，都加载到了系统内核里卖弄，用于保护自己（这个过程好像叫什么IFEO劫持，也就是所谓的windows文件映像劫持）。这个时候又要借助Unlock来清除这些保护机制了……

最后经过一系列的工作，终于把这个可恶的家伙赶出了朋友的电脑。之后进行的一些防御性设置当然不在话下。

总的来说，这个帕虫还是比较成功的，每次只要程序一运行，先破机器上的杀毒软件和其他防护软件，然后破坏安全模式，接着采取一系列的保护措施：当用户使用的浏览器上出现某些关键字的时候，浏览器就会被病毒强制关闭；修改注册表，使QQ医生、360安全卫士等几十种常用软件无法正常运行；

不过其也有几个败笔，首先是只在启动的破坏安全模式，如果在每次系统启动和结束的时候都破坏安全模式的话，那会更加棘手。再者就是其确认防护软件竟然用的是关键字模式而不是特征码模式，这样使得修改一下程序名字就可以勉强运行。还有就是IFEO劫持不够绝，哈哈 如果加强一下这几个方面这个病毒绝对更难清除 呵呵

先吃饭了 吃完饭把几个工具补上